AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 1

INHOUDSTAFEL

1. WANNEER MOET IK ALS DIAMANTHANDELAAR DE AVG TOEPASSEN? .................................................................... 2

2. WANNEER MOET IK BEGINNEN MET DE NALEVING ERVAN? ................................................................................... 2

3. BEN IK EEN VERWERKINGSVERANTWOORDELIJKE OF EEN VERWERKER? ............................................................... 2

4. HOE ZORG IK ERVOOR DAT IK DE AVG NALEEF EN DIT KAN AANTONEN? ................................................................ 3

5. WIE ZAL CONTROLEREN OF IK DE AVG AL DAN NIET NALEEF? ................................................................................. 3

6. HEB IK EEN RECHTSGROND NODIG VOOR DE VERWERKING VAN PERSOONSGEGEVENS? ...................................... 3

7. WELKE INFORMATIE MOET IK VERSTREKKEN AAN DE BETROKKENE?...................................................................... 5

8. WAT ZIJN DE GEVOLGEN VAN DE AVG IN EEN TEWERKSTELLINGSCONTEXT? ......................................................... 6

9. MAG IK DIRECTE MARKETINGCOMMUNICATIE NAAR MIJN KLANTEN STUREN? ..................................................... 7

10. WAT IS DE SAMENHANG TUSSEN DE AVG EN AWW?............................................................................................... 8

11. ZIJN SOMMIGE GEGEVENS GEVOELIGER DAN ANDERE? .......................................................................................... 9

12. MAG IK PERSOONSGEGEVENS BETREFFENDE STRAFRECHTELIJKE VEROORDELINGEN EN FEITEN VERWERKEN? ... 9

13. MAG IK DE GEGEVENS GEBRUIKEN VOOR ALLE DOELEINDEN? ................................................................................ 9

14. MAG IK ZO VEEL GEGEVENS VERZAMELEN ALS IK WIL? ......................................................................................... 10

15. WAT MOET IK DOEN OM DE PERSOONSGEGEVENS DIE IK VERWERK TE BEVEILIGEN? ......................................... 10

16. MAG IK DE GEGEVENS ZO LANG ALS IK WIL BEWAREN? ........................................................................................ 10

17. MOET IK DE GEGEVENS ACTUALISEREN? ................................................................................................................ 11

18. MOET IK MIJN VERWERKINGSACTIVITEITEN DOCUMENTEREN? ............................................................................ 11

19. MAG IK PERSOONSGEGEVENS DELEN MET DERDE PARTIJEN? ............................................................................... 12

20. MAG IK EEN DEEL VAN MIJN GEGEVENSVERWERKINGSACTIVITEITEN UITBESTEDEN? ......................................... 14

21. MOET IK EEN FUNCTIONARIS VOOR GEGEVENSBESCHERMING (DPO) AANSTELLEN? ........................................... 15

22. HEBBEN BETROKKENEN SPECIFIEKE RECHTEN? ...................................................................................................... 15

23. WAT MOET IK DOEN IN GEVAL VAN DIEFSTAL OF VERLIES VAN PERSOONSGEGEVENS? ...................................... 17

24. WELKE DOCUMENTEN ZAL AWDC U TER BESCHIKKING STELLEN EN HOE ZE TE GEBRUIKEN? .............................. 18

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 2

1. WANNEER MOET IK ALS DIAMANTHANDELAAR DE AVG TOEPASSEN?

De AVG (Algemene Verordening Gegevensbescherming) is van toepassing op iedereen die persoonsgegevens verwerkt. Persoonsgegevens zijn alle gegevens die betrekking hebben op een menselijk wezen, hetzij iemand die u kent (‘geïdentificeerd’), hetzij iemand die u kunt identificeren met behulp van een identificatienummer, cookies of andere specifieke kenmerken of gegevens van die persoon (‘identificeerbaar’).

Met andere woorden, de definitie van ‘persoonsgegevens’ is dus heel breed en betreft bijna alle gegevens die aan een natuurlijke persoon kunnen worden gekoppeld. Bijgevolg moet u als diamanthandelaar de AVG toepassen wanneer u persoonsgegevens van uw werknemers, klanten, leveranciers of anderen verwerkt. Daarom moet u er rekening mee houden dat, zelfs wanneer u hun persoonsgegevens niet gebruikt om u specifiek op klanten te richten (bijvoorbeeld door het sturen van advertenties), de AVG waarschijnlijk nog steeds op u van toepassing zal zijn, aangezien u persoonsgegevens verzamelt tijdens uw professionele activiteiten.

2. WANNEER MOET IK BEGINNEN MET DE NALEVING ERVAN?

Vanaf 25 mei 2018 zal de AVG van toepassing zijn op alle in de Europese Unie gevestigde bedrijven, inclusief de diamanthandelaars. Zelfs als u niet bent gevestigd in een land in de EU, maar u biedt producten of diensten aan aan inwoners van de Europese Unie, zult u de regels van de AVG moeten naleven.

3. BEN IK EEN VERWERKINGSVERANTWOORDELIJKE OF EEN VERWERKER?

De AVG maakt een onderscheid tussen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Elk heeft verschillende verantwoordelijkheden:

• ‘Verwerkingsverantwoordelijken’ bepalen de ‘doeleinden en de middelen’ van de verwerking van persoonsgegevens. Met andere woorden, als u zelf beslist welk soort persoonsgegevens u verwerkt, voor welke doeleinden u deze gegevens verwerkt en welke technologie u gebruikt om de gegevens te verwerken, dan bent u een verwerkingsverantwoordelijke. Normaal zult u als diamanthandelaar worden beschouwd als verwerkingsverantwoordelijke. Bovendien stelt u als diamanthandelaar normaal gezien verschillende verwerkers aan, zoals IT-dienstverleners, dienstverleners inzake beveiliging enz.

• ‘Verwerkers’ verwerken de persoonsgegevens ‘namens de verwerkingsverantwoordelijke’. Als u dus alleen handelt in opdracht van een ander bedrijf, en u beslist niet zelf welke gegevens worden verwerkt of voor welke doeleinden, dan bent u een verwerker. Verwerkers kunnen verschillende vormen aannemen, bv. externe dienstverleners, hostingproviders, aanbieders van IT-ondersteuning enz.

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 3

4. HOE ZORG IK ERVOOR DAT IK DE AVG NALEEF EN DIT KAN AANTONEN?

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de vereisten onder de AVG en moet dit kunnen aantonen (het ‘verantwoordingsbeginsel’). Dit vereist dat u een nalevingsstrategie implementeert die in staat is de naleving in uw gehele organisatie te bewaken en aan de gegevensbeschermingsautoriteit (GBA) en de betrokkenen aan te tonen dat u persoonsgegevens verwerkt in overeenstemming met de AVG. In de volgende antwoorden zal duidelijk worden wat u kunt doen om dit verantwoordingsbeginsel na te leven. Een goede manier om te beginnen is het verkrijgen van een bewijs van deelname aan een AWDC-café over AVG en/of andere seminaries over gegevensbescherming die u mogelijk hebt bijgewoond. Bovendien zullen toekomstige seminaries van AWDC AML & Compliance het thema ‘AVG’ behandelen, wat betekent dat u uw aanwezigheidscertificaat kunt gebruiken om aan te tonen dat u inspanningen levert om u te informeren over en om te handelen in overeenstemming met de AVG.

5. WIE ZAL CONTROLEREN OF IK DE AVG AL DAN NIET NALEEF?

In België zult u worden gecontroleerd door de Gegevensbeschermingsautoriteit (www.privacycommission.be). De Gegevensbeschermingsautoriteit heeft brede bevoegdheden om onderzoek te verrichten en om corrigerende maatregelen te nemen, inclusief de bevoegdheid om on-site gegevensbeschermingscontroles te verrichten en de bevoegdheid om publieke waarschuwingen te geven, berispingen te geven en specifieke remediëringsactiviteiten te verplichten. Zij hebben ook de bevoegdheid om sancties op te leggen. Derde partijen kunnen ook een klacht indienen bij de Gegevensbeschermingsautoriteit of een vordering tegen u instellen als u hun gegevens op onrechtmatige wijze opslaat.

6. HEB IK EEN RECHTSGROND NODIG VOOR DE VERWERKING VAN PERSOONSGEGEVENS?

Diamanthandelaars verwerken doorgaans persoonsgegevens van hun werknemers, klanten, leveranciers of andere personen waarmee zij in contact staan. Persoonsgegevens kunnen contactgegevens zijn van uw klanten en leveranciers, rijksregisternummers van uw personeel, de ‘ken-uw-klant’-informatie over uw klant zoals een identiteitskaartnummer/paspoortnummer, beelden van bewakingscamera’s, vingerafdrukken die werden verzameld voor veiligheidsredenen of andere informatie betreffende een natuurlijke persoon.

Voordat u doorgaat met het lezen van deze V&A, is het nuttig om alle persoonsgegevens die u verwerkt in kaart te brengen om een duidelijk overzicht te hebben van de gegevens en gegevensstromen. Daarna dient u zich ervan te vergewissen dat de persoonsgegevens worden verwerkt op basis van minstens een van de zes wettelijke rechtsgronden vermeld in Artikel 6 (1) van de AVG. In het bijzonder met betrekking tot u als diamanthandelaar, zijn dit de vier relevante rechtsgronden:

• Toestemming – mondeling of schriftelijk. Het is belangrijk op te merken dat toestemming een rechtmatige grond voor verwerking is. Er zijn alternatieve rechtsgronden die wellicht de voorkeur verdienen omdat toestemming onder bepaalde omstandigheden moeilijk te verkrijgen kan zijn. Daarom moet u alleen toestemming vragen als u geen beroep kunt doen op een andere rechtsgrond (zie hieronder).

De AVG heeft de definitie van ‘toestemming’ aanzienlijk ingeperkt. Als gevolg daarvan moet de betrokkene op grond van de AVG akkoord gaan door een verklaring of ‘duidelijke actieve handeling’, zoals

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 4

het aanvinken van een vakje of een swipe-beweging op het scherm. Bovendien moet toestemming ‘vrijelijk, specifiek en geïnformeerd’ zijn en diamanthandelaars zullen moeten kunnen aantonen dat de toestemming werd gegeven. Toestemming is geschikt als u mensen een echte keuze en controle kunt bieden over hoe u hun gegevens gebruikt en als u hun vertrouwen en betrokkenheid wilt vergroten. Als u toestemming als voorwaarde stelt voor een dienst, is deze waarschijnlijk niet de meest geschikte rechtsgrond, omdat deze niet als vrijelijk gegeven kan worden beschouwd.

Toestemming zal bijvoorbeeld relevant zijn wanneer u directe marketingactiviteiten verricht (het promoten van producten/diensten aan klanten/potentiële klanten via e-mail of anderen kanalen). Zie vraag 9 voor meer informatie over directe marketing.

Uitdrukkelijke toestemming is alleen vereist in bepaalde specifieke omstandigheden zoals het verwerken van gevoelige gegevens (zie hieronder, vraag 11). De uitdrukkelijke toestemming moet nadrukkelijk in woorden worden bevestigd, en niet door een andere positieve handeling, zoals het aanklikken of aanvinken van een selectievakje (bv. door middel van een ondertekende schriftelijke verklaring). Vingerafdrukken zullen bijvoorbeeld worden beschouwd als gevoelige gegevens en uitdrukkelijke toestemming zal dus moeten worden bekomen voor het verwerken van dit soort gegevens.

Opmerking: wanneer er andere gronden van toepassing zijn op de verwerking van gevoelige gegevens, bijvoorbeeld een wettelijke verplichting zoals de antiwitwaswetgeving, hoeft u de betrokkene niet uitdrukkelijk om zijn/haar uitdrukkelijke toestemming te vragen.

• Uitvoering van een overeenkomst – u kunt steunen op deze rechtsgrond als u de persoonsgegevens van iemand moet verwerken (i) om aan uw contractuele verplichtingen tegenover hen te voldoen (u hebt bijvoorbeeld gegevens van uw werknemer nodig om zijn salaris te betalen of de arbeidsovereenkomst uit te voeren); of (ii) omdat zij u hebben gevraagd om iets te doen voordat u een overeenkomst aangaat (bijvoorbeeld een offerte geven). Om in overeenstemming met het verantwoordingsbeginsel te handelen, dient u uw beslissing om zich op deze rechtsgrond te baseren te documenteren en ervoor te zorgen dat u uw redenering kunt motiveren.

Zo moet uw personeelsafdeling bijvoorbeeld persoonsgegevens van medewerkers opvragen en verwerken om te kunnen voldoen aan de verplichtingen van de werkgever krachtens de arbeidsovereenkomst, zoals het betalen van het salaris (zie vraag 8 voor een uitgebreidere toelichting over uw AVG-verplichtingen ten aanzien van uw werknemers). U kunt ook persoonsgegevens van klanten of leveranciers verwerken omdat u er een contractuele relatie mee hebt en u hun gegevens nodig hebt voor facturatie en verzending (bv. hun contactgegevens en adres).

• Wettelijke verplichting – soms kunt u steunen op een wettelijke verplichting, wat betekent dat een wet u toestaat om persoonsgegevens te bewaren.

De antiwitwaswetgeving (AWW) staat u toe om ‘ken-uw-klant’-informatie over uw klant te verwerken, alsook persoonsgegevens inzake strafrechtelijke veroordelingen (zie vraag 10 hieronder over de samenhang tussen de AWW en de AVG) of uw verplichtingen in het kader van de sociale zekerheid van uw werknemers vereisen dat u de persoonsgegevens van uw werknemers verwerkt;

• Gerechtvaardigde belangen – dit is de meest flexibele rechtsgrond voor verwerking, maar u mag er niet van uitgaan dat deze altijd de geschiktste rechtsgrond zal zijn. Steunen op deze rechtsgrond houdt in dat u kunt aantonen dat u een rechtmatig belang hebt bij de verwerking van bepaalde persoonsgegevens. Deze

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 5

rechtsgrond zal echter niet van toepassing zijn wanneer uw gerechtvaardigde belangen niet zwaarder wegen dan de belangen of de rechten en vrijheden van de betrokkene.

Diamanthandelaars zijn bijvoorbeeld niet verplicht om de toestemming van betrokkenen te vragen voor het gebruik van bewakingscamera’s (CCTV) omdat het uw gerechtvaardigde belang is om dergelijke camera’s te gebruiken voor veiligheidsdoeleinden. Houd er rekening mee dat u nog steeds gehouden bent tot naleving van de verplichtingen onder de (nieuwe) Wet op de Camerabewaking en de verplichtingen onder de AVG die niet zijn geregeld in de Wet op de Camerabewaking. Bovendien moet u bij het gebruik van CCTV een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren, want CCTV wordt beschouwd als een verwerkingsactiviteit die gepaard gaat met een hoog risico voor de rechten en vrijheden van natuurlijke personen. Een DPIA helpt u bij het identificeren en minimaliseren van de risico’s op het gebied van gegevensbescherming bij risicovolle gegevensverwerkingsactiviteiten. Wat betreft CCTV, zal de beoordeling een eenvoudige taak zijn als u naleving met de (nieuwe) Wet op de Camerabewaking kunt aantonen. De beoordeling kan de vorm aannemen van een vragenlijst die u moet invullen en op basis van de verstrekte antwoorden zult u beter kunnen beoordelen of verdere acties moeten worden ondernomen om uw verplichtingen onder de AVG na te leven (een voorbeeld van een dergelijke vragenlijst vindt u hier).

Samenvattend kan worden gesteld dat u niet altijd moet steunen op toestemming als rechtsgrond voor de verwerking van persoonsgegevens. We raden u echter altijd aan om te beoordelen of er een geschiktere rechtsgrond is voor de verwerking dan toestemming. Het is ook belangrijk om de beoordelen welke rechtsgrond er van toepassing is op elke verwerkingsactiviteit van persoonsgegevens die u onderneemt, aangezien u verplicht bent om de betrokkene op de hoogte te stellen van de rechtsgrond van de verwerking (zie vraag 7).

7. WELKE INFORMATIE MOET IK VERSTREKKEN AAN DE BETROKKENE?

Zodra u de juiste rechtsgrond hebt vastgesteld voor de persoonsgegevens die u verwerkt, moet u de betrokkene op de hoogte stellen van het feit dat u zijn/haar gegevens verwerkt. Aangezien persoonsgegevens moeten worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is (het principe van ‘rechtmatigheid, behoorlijkheid en transparantie’), moet u de betrokkene vooraf meedelen hoe en met welk doel u zijn gegevens zult verzamelen en dat een dergelijke verwerking gebaseerd is op rechtsgronden zoals toestemming, een contract, een wettelijke verplichting of een gerechtvaardigd belang.

U kunt betrokkenen zoals (toekomstige) klanten en leveranciers informeren door middel van een privacyverklaring op uw website en/of door hen een fysieke kopie van een privacyverklaring te verstrekken voordat u begint met de verwerking van hun persoonsgegevens (een sjabloon van een dergelijke privacyverklaring kunt u hier vinden. Indien u geen website hebt, kan u bijvoorbeeld een kopie van uw privacyverklaring ter beschikking stellen aan uw klanten aan uw balie. U kan ook een verwijzing naar uw privacyverklaring op uw facturen of een kopie van uw privacyverklaring toevoegen aan uw facturen. Het is niet nodig om proactief de betrokkenen te informeren over uw nieuwe privacyverklaring. Met andere woorden, het is niet nodig om naar uw bestaande klantenbestand mails te sturen over uw nieuwe privacyverklaring. U moet ook uw werknemers in hun hoedanigheid van betrokkenen informeren via een specifieke privacyverklaring voor werknemers (een sjabloon van een dergelijke privacyverklaring voor werknemers kunt u hier vinden).

De AWW vereist ook dat u uw klanten een algemene verklaring verstrekt met betrekking tot uw verplichting onder de AWW om bepaalde persoonsgegevens te verwerken in het kader van de voorkoming van het

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 6

witwassen van geld en de financiering van terrorisme (een sjabloon van een dergelijke verklaring vindt u hier en kan worden toegevoegd aan uw e-mails of uw brieven aan klanten in het kader van het bekomen van ‘ken-uw-klant’-informatie);

Indien u persoonsgegevens verkrijgt van een betrokkene dient u de betrokkene informatie te verstrekken over de verwerking, in het bijzonder de volgende informatie die ook terug te vinden is in de sjablonen van de privacyverklaringen die AWDC heeft opgesteld voor de diamantsector (zoals hierboven vermeld):

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;

• indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;

• de doeleinden van de verwerking en de rechtsgronden voor verwerking;

• de (categorieën van de) ontvangers van de gegevens;

• informatie over de toepasselijke waarborgen in het kader van een overdracht buiten de EER;

• informatie over het bestaan van de rechten van de betrokkene (recht op inzage, rectificatie, wissing [‘recht op vergetelheid’], recht om toestemming in te trekken enz.);

• de aard van de verplichting om de gegevens te verstrekken (contractuele of wettelijke verplichting) en de mogelijke gevolgen van het niet verstrekken van dergelijke gegevens;

• opslagperiode;

• het recht om een klacht in te dienen bij een toezichthoudende autoriteit; en

• indien van toepassing, het bestaan van geautomatiseerde besluitvorming, inclusief profilering en nuttige informatie over de gevolgde logica.

8. WAT ZIJN DE GEVOLGEN VAN DE AVG IN EEN TEWERKSTELLINGSCONTEXT?

U zult hoogstwaarschijnlijk enkele werknemers in uw bedrijf tewerkstellen en daardoor ‘werknemersgegevens’ verwerken (d.w.z. persoonsgegevens die u van uw werknemers ontvangt in het kader van de tewerkstelling van die werknemer). Daarom zullen veel aspecten van de AVG op u van toepassing zijn, zoals:

• Wat de rechtsgrond betreft, zult u zich in de meeste gevallen kunnen beroepen op de uitvoering van een overeenkomst, met name de arbeidsovereenkomst, of op de wettelijke verplichting, bijvoorbeeld met betrekking tot verplichtingen in het kader van de sociale zekerheid.

• U moet vermijden om te steunen op toestemming met betrekking tot werknemersgegevens, aangezien toestemming onder de AVG onderworpen is aan strikte vereisten en vrijelijk moet worden gegeven en specifiek, geïnformeerd en ondubbelzinnig moet zijn. Het wordt aangenomen dat de in het kader van een tewerkstellingsrelatie verkregen toestemming hoogstwaarschijnlijk niet vrijelijk wordt gegeven vanwege de onevenwichtige machtsverhouding tussen werkgever en werknemer.

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 7

• U moet uw werknemers informeren over de verwerking van hun persoonsgegevens, bijvoorbeeld aan de hand van een privacyverklaring voor werknemers (zie vraag 7 - een sjabloon voor een privacyverklaring kunt u hier vinden).

• Uw werknemers kunnen hun rechten uitoefenen (zie vraag 22) zoals het recht om een kopie te ontvangen van de persoonsgegevens die u over hen bewaart.

• Om aan te tonen dat uw bedrijf maatregelen neemt om te voldoen aan de AVG, is het aanbevolen om uw werknemers instructies te geven over hoe ze moeten omgaan met persoonsgegevens en om van tijd tot tijd trainingen te organiseren op het gebied van gegevensbescherming. Uw werknemers kunnen deelnemen aan de nalevingsseminaries van AWDC waar de AVG-onderwerp aan bod komt.

• Zorg ook dat al uw werknemers die betrokken zijn bij de verwerking van persoonsgegevens instaan voor beveiliging en vertrouwelijkheid, bijvoorbeeld door het opnemen of wijzigen van de vertrouwelijkheidsclausule in de arbeidsovereenkomst om ook persoonsgegevens te beschermen - een voorbeeld van een dergelijke clausule kan hier worden gevonden.

9. MAG IK DIRECTE MARKETINGCOMMUNICATIE NAAR MIJN KLANTEN STUREN?

Directe marketing, zoals nieuwsbrieven en andere e-mailcommunicatie om klanten te informeren over een product of een dienst, is niet alleen gereguleerd door de AVG, maar ook door andere regels, zoals de Richtlijn inzake ePrivacy. Daarom kunt u marketingteksten en e-mails alleen naar individuen sturen als die persoon specifiek toestemming heeft gegeven om ze te ontvangen. Bovendien moet u de betrokkene de mogelijkheid bieden om een opt-out te doen, of af te melden (d.w.z. zijn/haar toestemming in te trekken).

Voor bestaande klanten kunt u echter zonder toestemming marketingteksten of e-mails sturen als aan de volgende drie voorwaarden is voldaan:

• U hebt de contactgegevens van de persoon verkregen tijdens de verkoop van een product of dienst aan die persoon;

• De marketingteksten of e-mails zijn enkel bedoeld om uw eigen gelijkaardige producten/diensten te promoten (en dus niet van producten/diensten van andere bedrijven of van uw eigen producten/diensten die verschillen van de producten/diensten die u in het verleden aan de bestaande klant hebt gepromoot); en

• U hebt de persoon de mogelijkheid geboden om de marketing te weigeren of ervoor af te melden, zowel wanneer u de gegevens hebt verzameld als in elke volgende communicatie.

Met andere woorden, als aan deze voorwaarden is voldaan, mag u zulke marketingcommunicatie naar uw bestaande klanten sturen. Houd daarbij in het hoofd, echter, dat u zulke communicatie niet mag sturen naar een klant die zich afgemeld heeft voor zulke directe marketingcommunicatie (bv. wanneer de klant niet het vakje heeft aangevinkt dat hem de mogelijkheid gaf om zulke directe marketingcommunicatie te ontvangen, of wanneer de klant zich uitgeschreven heeft van de nieuwsbrief). “Bestaande klanten” refereert naar personen met wie u een klantenrelatie hebt.

Dit betekent dat u met betrekking tot nieuwe potentiële klanten met wie u (nog) geen klantenrelatie hebt, hun

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 8

toestemming zal moeten vragen voordat u hen directe marketingcommunicatie toestuurt, bv. door een vakje toe te voegen dat de geïnteresseerde kan aanvinken of kan weigeren aan te vinken om te bevestigen dat hij al dan niet nieuwsbrieven wilt ontvangen en dat zijn/haar gegevens verwerkt zullen worden voor dat doel. Onthoud daarbij dat toestemming vrij gegeven moet worden. Dit betekent dat men toestemming niet mag “koppelen” aan het aanvaarden van algemene voorwaarden, of het verstrekken van een contract of een dienst mag binden aan een verzoek om toestemming te geven om persoonsgegevens te verwerken die niet nodig zijn voor de uitvoering van het contract of de dienst (bv. een cadeau beloven wanneer de betrokkene toestemming geeft om zich in te schrijven op uw nieuwsbrief, of bepaalde diensten weigeren indien de betrokkene deze toestemming niet geeft).

Wij bevelen daarom aan om een toestemmingsformulier te ontwikkelen dat per e-mail kan worden gebruikt en verzonden om betrokkenen om toestemming te vragen, waar van toepassing. U kunt hier een voorbeeld van een dergelijk toestemmingsformulier vinden.

Vergeet bovendien niet dat u betrokkenen moet informeren, bijvoorbeeld door middel van een privacyverklaring op uw website of door (toekomstige) klanten en leveranciers een fysieke kopie van een privacyverklaring te verstrekken voordat u begint met de verwerking van hun persoonsgegevens (een sjabloon van een dergelijke privacyverklaring kunt u hier vinden).

10. WAT IS DE SAMENHANG TUSSEN DE AVG EN AWW?

Zowel de AVG als de AWW zullen elkaar beïnvloeden, met name op de volgende punten:

• AWW kan worden gebruikt als rechtsgrond voor het verwerken van bepaalde persoonsgegevens, aangezien het een wettelijke verplichting is voor diamanthandelaars om bepaalde persoonsgegevens te verzamelen en te bewaren (bv. identiteitsgegevens);

• maar de persoonsgegevens die worden verwerkt in de context van een wettelijke verplichting mogen niet worden gebruikt voor enig ander doel (bv. marketingdoeleinden). Daarenboven, zelfs indien u toestemming zou vragen om gegevens over de uiteindelijke begunstigden te gebruiken voor marketingdoeleinden, zou dit niet toegestaan zijn, aangezien gegevens over de uiteindelijke begunstigden relateren aan derde partijen, voor wie uw klant geen toestemming kan geven;

• het feit dat uw rechtsgrond een wettelijke verplichting is, ontslaat u niet van uw informatieverplichting ten aanzien van de betrokkenen (zie vraag 7 hierboven). We raden ook aan om de algemene verklaring, die is vereist onder de AWW, op te nemen in al uw communicatie, zoals brieven of e-mails, u kunt deze hier vinden. U moet de betrokkenen ook op de hoogte stellen over de mogelijkheid dat hun gegevens kunnen worden doorgegeven aan derde partijen, bijvoorbeeld financiële instellingen of overheidsinstanties;

• de AVG houdt geen aantasting in van de verplichting onder de AWW om bepaalde gegevens 10 jaar te bewaren. Na die 10 jaar moeten de gegevens die voor doeleinden inzake AWW worden verwerkt, echter worden gewist (zie vraag 16 hieronder);

• de rechten van de betrokkenen betreffende hun persoonsgegevens zijn beperkt in het kader van de AWW (zie vraag 22 hieronder);

• andere partijen die onder de AWW vallen (bv. financiële instellingen) kunnen ook op hun verplichtingen

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 9

onder de AWW steunen om bepaalde informatie van u op te vragen (bv. identiteitsgegevens van uw klanten of leveranciers);

• binnen het kader van uw verplichtingen onder de AWW is het u toegestaan om persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en feiten te verwerken.

11. ZIJN SOMMIGE GEGEVENS GEVOELIGER DAN ANDERE?

In principe is het verwerken van gevoelige gegevens niet toegestaan onder de AVG, behalve als een van de volgende uitzonderingen van toepassing is. Gevoelige gegevens worden onder de AVG als volgt gedefinieerd: gegevens die uw ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of uw lidmaatschap van een vakbond onthullen en de verwerking van genetische gegevens, biometrische gegevens met het doel om een natuurlijke persoon op unieke wijze te identificeren, gegevens over gezondheid of gegevens betreffende het seksuele gedrag of de seksuele gerichtheid van een natuurlijke persoon.

Als diamanthandelaar zult u normaal gezien niet in aanraking komen met gevoelige gegevens. Als er echter gebruik zou worden gemaakt van een systeem met vingerafdrukken om veiligheidsredenen, dan zouden deze gegevens als gevoelig worden beschouwd. In dat geval zult u een ‘uitdrukkelijke toestemming’ moeten vragen aan de betrokkene (zie vraag 6 hierboven).

12. MAG IK PERSOONSGEGEVENS BETREFFENDE STRAFRECHTELIJKE VEROORDELINGEN EN FEITEN VERWERKEN?

De wetgeving inzake AWW staat diamanthandelaars toe om persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en feiten te verwerken, maar alleen om te voldoen aan uw verplichtingen onder de AWW. De AWW zal dus ook dienen als uw rechtsgrond in overeenstemming met Artikel 6(1) AVG om dergelijke persoonsgegevens te mogen verwerken.

U mag dus ook op basis van uw ‘ken-uw-klant’-verplichtingen onder de AWW bijvoorbeeld de databank Bureau Van Dijk raadplegen die persoonsgegevens bevat met betrekking tot strafrechtelijke veroordelingen (zoals VN-sanctielijsten).

Houd er rekening mee dat u dergelijke gegevens alleen mag verwerken om te voldoen aan uw verplichtingen onder de AWW.

13. MAG IK DE GEGEVENS GEBRUIKEN VOOR ALLE DOELEINDEN?

U mag de persoonsgegevens die worden verwerkt voor een bepaald doel niet gebruiken voor andere, onverenigbare doeleinden (het ‘beginsel inzake doelbinding’).

Persoonsgegevens die u hebt verzameld voor anti-witwasdoeleinden mogen bijvoorbeeld niet zonder toestemming van de betrokkene worden hergebruikt voor direct-marketingdoeleinden. Hetzelfde geldt als u Ultimate Beneficial Ownership (UBO)-informatie van uw klant hebt verzameld. U mag deze informatie niet gebruiken om hun UBO's te benaderen om te proberen diamanten aan hen te verkopen.

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 10

14. MAG IK ZO VEEL GEGEVENS VERZAMELEN ALS IK WIL?

U mag alleen gegevens verzamelen die toereikend en ter zake dienend te zijn en beperkt blijven tot wat noodzakelijk is voor het(de) doeleinde(n) waarvoor zij worden verwerkt (het ‘beginsel inzake gegevensminimalisering’). Dit betekent dat u niet meer gegevens mag verzamelen dan u nodig hebt voor de doeleinden waarvoor u de persoonsgegevens verzamelt.

De AWW-wetgeving vereist bijvoorbeeld dat u uw klanten identificeert, maar dit staat u niet toe om meer informatie te verzamelen dan nodig is (het is bijvoorbeeld niet toegestaan om het kentekennummer van uw klant op te vragen).

15. WAT MOET IK DOEN OM DE PERSOONSGEGEVENS DIE IK VERWERK TE BEVEILIGEN?

Gegevens moeten worden verwerkt op een wijze die toepasselijke beveiliging van de persoonsgegevens verzekert, aan de hand van passende technische en organisatorische maatregelen (het ‘beginsel inzake integriteit en vertrouwelijkheid’).

Zo kunt u er bijvoorbeeld voor zorgen dat alleen bepaalde gemachtigde personen toegang hebben tot de persoonsgegevens en dat de toegang tot deze gegevens wordt gelogd (wat betekent dat er een auditspoor wordt bijgehouden van wie wanneer toegang heeft tot de persoonsgegevens).

We raden ook aan om interne beleidslijnen en nalevingsprocedures te implementeren (bv. een privacybeleid voor interne doeleinden, met name om uw werknemers te informeren hoe ze met persoonsgegevens moeten omgaan, deze moeten opslaan, bekendmaken en anderszins moeten verwerken). U kunt een voorbeeld van een intern privacybeleid, dat we specifiek hebben opgesteld met betrekking tot de diamantsector, hier vinden.

Zorg ook alle interne en externe partijen die betrokken zijn bij de verwerking van persoonsgegevens instaan voor de veiligheid en vertrouwelijkheid, bijvoorbeeld door het uitvoeren van een geheimhoudingsovereenkomst met derde partijen die toegang hebben tot persoonsgegevens in uw bedrijf of door geheimhoudingsverplichtingen in een arbeidsovereenkomst (door het opnemen of wijzigen van de geheimhoudingsclausule in de arbeidsovereenkomst om ook persoonsgegevens te beschermen - een voorbeeld van een dergelijke clausule kunt u hier vinden).

16. MAG IK DE GEGEVENS ZO LANG ALS IK WIL BEWAREN?

Volgens de AVG mogen persoonsgegevens niet langer worden bewaard dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is (het ‘beginsel opslagbeperking’). U dient technische en organisatorische maatregelen te nemen om ervoor te zorgen dat persoonsgegevens tijdig worden verwijderd of teruggegeven. Registreer bijvoorbeeld de bewaartermijnen voor verschillende soorten persoonsgegevens of installeer een geautomatiseerd proces voor het wissen van persoonsgegevens wanneer de bewaartermijn is verstreken.

Als diamanthandelaar bent u door de AML verplicht identificatiegegevens op te slaan gedurende 10 jaar vanaf het einde van de zakelijke relatie of vanaf de datum van een incidentele transactie (zie Artikel 60 (1) 1° AWW). Dit betekent dat u ervoor moet zorgen dat de persoonsgegevens worden gewist of teruggegeven na het verstrijken van de periode van 10 jaar. Bovendien moet u uw facturen ook 10 jaar bewaren, d.w.z. de

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 11

verjaringstermijn voor wettelijke aansprakelijkheid. Alle andere persoonsgegevens mogen dus niet langer worden bewaard dan nodig is en daarom moet u specifieke bewaartermijnen instellen.

17. MOET IK DE GEGEVENS ACTUALISEREN?

Verwerkers moeten ervoor zorgen dat de gegevens die ze verwerken juist zijn en waar nodig worden geactualiseerd (het ‘beginsel inzake juistheid’). Dit betekent dat u uw verwerkingsactiviteiten moet bijhouden voor uw interne organisatie en technische en/of organisatorische maatregelen moet treffen om te voldoen aan de verplichting om de informatie juist en geactualiseerd te houden.

U kunt bijvoorbeeld een persoon binnen uw bedrijf aanwijzen die verantwoordelijk is voor het jaarlijks controleren of de verzamelde informatie nog steeds juist en actueel is, of selfservicetools implementeren die de betrokkene kan gebruiken om zijn informatie te actualiseren.

18. MOET IK MIJN VERWERKINGSACTIVITEITEN DOCUMENTEREN?

In principe zijn alleen bedrijven met meer dan 250 werknemers verplicht om een formeel register van verwerkingsactiviteiten bij te houden. Dit betekent dat u gedetailleerde en actuele documentatie over de verwerking van persoonsgegevens die u bijwerkt moet bijhouden als u nieuwe verwerkingsactiviteiten onderneemt, zoals nieuwe verzendingen van nieuwsbrieven aan klanten.

Bedrijven met minder dan 250 werknemers zullen echter ook een dergelijk register moeten bijhouden als:

• het waarschijnlijk is dat de verwerking van de persoonsgegevens een risico voor de rechten en vrijheden van de betrokkenen inhoudt; of

• als de verwerking niet incidenteel is; of

• de verwerking gevoelige gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen of strafbare feiten omvat.

Onder incidentele verwerking wordt verstaan een verwerking die toevallig, onvoorzien of ongebruikelijk is. Aangezien diamanthandelaars volgens de AWW identificatiegegevens moeten verwerken alvorens een nieuwe cliënt te werven, zal een dergelijke verwerking waarschijnlijk te systematisch worden geacht om slechts ‘incidenteel’ te zijn, waardoor u een dergelijk register zal moeten bijhouden. Bovendien is het ook mogelijk dat u gegevens verwerkt die betrekking hebben op strafrechtelijke veroordelingen (zoals de VN-Sanctielijst die beschikbaar is in de database van Bureau Van Dijk) waardoor u ook verplicht bent een dergelijk register bij te houden.

De AVG bepaalt welke informatie in een dergelijk register moet worden opgenomen:

• de naam en contactgegevens van de verwerkingsverantwoordelijke (dit is de diamanthandelaar);

• de doeleinden van de verwerking (bv. naleving van de ‘ken-uw-klant’-verplichtingen onder de AWW);

• een beschrijving van de categorieën van betrokkenen en categorieën van persoonsgegevens (bv. klanten

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 12

en hun identificatiegegevens);

• de categorieën van ontvangers waarmee persoonsgegevens worden gedeeld (bv. financiële instellingen);

• indien van toepassing, overdrachten van persoonsgegevens buiten de Europese Economische Ruimte (EER);

• wanneer mogelijk, de bewaartermijnen voor de verschillende categorieën van gegevens (bv. de verjaringstermijn van 10 jaar onder de AWW voor identificatiegegevens); en

• een algemene beschrijving van de beveiligingsmaatregelen (bv. alleen gemachtigd personeel heeft toegang tot de gegevens of de versleuteling van de gegevens).

Hieronder vindt u een voorbeeld van een register van verwerkingsactiviteiten dat u kunt gebruiken voor uw bedrijf:

Verwerkingsverantwoordelijke: [VOEG DE GEGEVENS VAN DE VERWERKINGSVERANTWOORDELIJKE IN: naam en rechtsvorm, maatschappelijke zetel]

Categorieën van betrokkenen

Doeleinden Categorieën van persoonsgegevens

Categorieën van de ontvangers van de persoonsgegevens

Bewaartermijn (wanneer zullen de gegevens worden verwijderd?)

Overdrachten van Persoonsgegevens naar derde landen (incl. documentatie van passende waarborgen indien van toepassing)

Technische en organisatorische beveiligingsmaatregelen

Werknemers

Werknemersbeheer (bv. salaris, sociale zekerheid enz.)

Identificatiegegevens (zoals naam, adres, telefoon enz.); financiële gegevens (zoals gegevens over bankrekening)

Socialezekerheidsinstellingen, dienstverleners inzake salarisadministratie enz.

Contractuele documentatie wordt bewaard tot 7 jaar na beëindiging van de arbeidsovereenkomst in overeenstemming met de wettelijke bepalingen inzake sociale fraude.

Nee Bv. logging en toegangscontrole, versleuteling, wachtwoord en login enz.

19. MAG IK PERSOONSGEGEVENS DELEN MET DERDE PARTIJEN?

Als diamanthandelaar is het mogelijk dat u persoonsgegevens moet delen met derde partijen, zoals IT-dienstverleners, verbonden ondernemingen, financiële instellingen en overheden (bijvoorbeeld in het kader van de AWW of de Responsible Jewelry Council). Indien u de persoonsgegevens die u verwerkt met derde partijen deelt, moet u, zoals steeds, een wettelijke basis hebben om dit te doen en dient u dit op transparante

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 13

wijze te doen en de betrokkenen informeren over het feit dat hun persoonsgegevens kunnen worden gedeeld en hen informeren over wie de mogelijke ontvangers van de gegevens zijn. Deze informatie is opgenomen in de privacyverklaring, zodat het niet nodig is om betrokkenen hiervan apart op de hoogte te stellen. U kunt de privacyverklaring hier vinden.

Om ervoor te zorgen dat de door de AVG verleende bescherming niet wordt ondermijnd wanneer persoonsgegevens buiten de EU worden doorgegeven, staat de AVG verder in principe overdrachten van persoonsgegevens toe naar derde landen waarvan de Europese Commissie heeft vastgesteld dat zij een passend niveau van gegevensbescherming bieden. In dat geval zullen overdrachten naar dergelijke derde landen worden gelijkgesteld aan doorzendingen van persoonsgegevens binnen de Europese Economische Ruimte (EER).

De lijst van derde landen die een passend niveau van gegevensbescherming bieden kan hier worden geraadpleegd. Tot dusver heeft de Europese Commissie Andorra, Argentinië, Canada (handelsorganisaties), de Faeröer, Guernsey, Israël, het eiland Man, Jersey, Nieuw-Zeeland, Zwitserland, Uruguay en de VS erkend als landen die een passend niveau van gegevensbescherming bieden.

Wat betreft de VS, zullen persoonsgegevens worden doorgegeven in het kader van het zogenaamde ‘EU-US Privacy Shield’. Dit kader beschermt de grondrechten van iedereen in de EU van wie persoonsgegevens voor commerciële doeleinden aan de VS worden doorgegeven.

Wat derde landen betreft die niet hierboven werden vermeld, zouden passende maatregelen genomen moeten worden om een passend beschermingsniveau van de persoonsgegevens te garanderen. Wat betreft verbonden ondernemingen, kan een gegevensdoorgifteovereenkomst (“data transfer agreement”) gesloten worden tussen de overdragende partij en de ontvangende partij. Dit document stipuleert de rechten en verplichtingen van zowel de overdragende partij als de ontvangende partij, alsook hoe de persoonsgegevens beschermd worden zowel tijdens als na de doorgifte. De Europese Commissie heeft templates opgesteld voor zulke overeenkomsten, welke hier geconsulteerd kunnen worden (voor situaties tussen een EU data verwerkingsverantwoordelijke en een niet-EU data verwerkingsverantwoordelijke) en hier (voor situaties tussen een EU data verwerkingsverantwoordelijke en een niet-EU data verwerker).

Voor groepen waarbinnen veel ondernemingen bestaan gesitueerd in verschillende geografische regio’s, kan een intra-groep gegevensdoorgifteovereenkomst (“intra-group data transfer agreement”) gesloten worden. Dit is een omvangrijk document dat aanvaard en ondertekend moet worden door alle verbonden ondernemingen en dat daarom ook een meer rigide procedure volgt. Om praktische redenen, wordt het aanbevolen om de sjablonen van gegevensdoorgifteovereenkomsten opgesteld door de Europese Commissie te gebruiken voor alle bilaterale verhoudingen waarbij gegevens worden gedeeld tussen bedrijven gesitueerd in de EU en bedrijven buiten de EU die niet op de lijst van de Europese Commissie staan, wanneer het slechts om een beperkt aantal partijen gaat waartussen data gedeeld wordt.

De AVG erkent eveneens de volgende maatregelen als passende maatregelen voor de doorgifte van EU persoonsgegevens naar een derde land:

• bindende bedrijfsvoorschriften;

• contractuele standaardbepalingen vastgesteld door de Europese Commissie;

• een goedgekeurde gedragscode; of

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 14

• een goedgekeurd certificeringsmechanisme.

Bijvoorbeeld, wanneer u KYC informatie van uw klanten deelt met verbonden overnemingen die tot dezelfde groep behoren maar gebaseerd zijn buiten de Europese Economische Ruimte, en dewelke niet op de lijst van de Europese Commissie staan, zal u moeten verzekeren dat u, vooreerst, een wettelijke basis hebt om dit te doen (dit kan bijvoorbeeld uw gerechtvaardigd belang zijn) en, vervolgens, dat u de nodige maatregelen neemt om een passend niveau van gegevensbescherming te waarborgen (door bijvoorbeeld een gegevensdoorgifteovereenkomst of een intra-groep gegevensdoorgifteovereenkomst af te sluiten voor alle persoonlijke data die gedeeld wordt binnen de groep). Houd er echter ook rekening mee dat wanneer u bepaalde persoonsgegevens, zoals KYC gegevens, deelt met uw verbonden ondernemingen, zij ook een wettelijke basis nodig hebben om dit soort informatie te verwerken. Voor KYC gegevens betekent dit bijvoorbeeld dat zij ook onderworpen moeten zijn aan een wetgevend kader in het land waar zij gevestigd zijn, dat hen oplegt om hun klanten te identificeren. Als uw verbonden onderneming geen enkele wettelijke basis heeft om KYC informatie te verwerken, mag u uw KYC gegevens niet met hen delen.

20. MAG IK EEN DEEL VAN MIJN GEGEVENSVERWERKINGSACTIVITEITEN UITBESTEDEN?

Als diamanthandelaar is het mogelijk dat u een deel van uw gegevensverwerkingsactiviteiten uitbesteedt, zoals IT-diensten en beveiligingsdiensten. In die gevallen mag u enkel samenwerken met dienstverleners die ‘afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd’.

Bovendien moet u een overeenkomst tekenen met elke verwerker die u aanstelt. De overeenkomst moet minimaal het volgende bevatten:

• onderwerp van de verwerking;

• duur;

• de aard en het doeleinde van de verwerking;

• het soort persoonsgegevens en de categorieën van betrokkenen;

• de verplichtingen en rechten van de verwerkingsverantwoordelijke.

Bovendien moeten in de overeenkomst specifieke clausules worden opgenomen waarin bepaalde verplichtingen van de verwerker worden beschreven (bv. de gedocumenteerde instructies van de verwerkingsverantwoordelijke opvolgen, passende technische en organisatorische maatregelen nemen, geen beroep doen op een sub-verwerker zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke enz.).

Merk op dat de meeste verwerkers waarmee u werkt waarschijnlijk al dergelijke clausules zullen hebben opgenomen in de overeenkomsten die u met hen hebt afgesloten. Het amendement van Microsoft op de online-abonnementsovereenkomst omvat bijvoorbeeld een overeenkomst voor gegevensverwerking die hier kan worden geraadpleegd. Het kan natuurlijk geen kwaad om bij uw verwerkers te controleren of dergelijke clausules van kracht zijn.

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 15

21. MOET IK EEN FUNCTIONARIS VOOR GEGEVENSBESCHERMING (DPO) AANSTELLEN?

Een Functionaris voor gegevensbescherming (DPO) moet worden aangesteld als een van de volgende situaties van toepassing is:

• de verwerking wordt verricht door een overheidsinstantie;

• regelmatige en stelselmatige observatie op grote schaal van betrokkenen; of

• grootschalige verwerking van bijzondere categorieën van gegevens.

Een DPO kan niet worden ontslagen of gestraft voor de uitvoering van zijn/haar taken. In dit verband genieten DPO’s een zekere mate van werkgelegenheidsbescherming. Een DPO is bovendien met betrekking tot de uitvoering van zijn/haar taken tot geheimhouding of vertrouwelijkheid gehouden.

Op basis van het bovenstaande is het onwaarschijnlijk dat u als diamanthandelaar een DPO zal moeten aanstellen in uw bedrijf. Natuurlijk is het aan te raden om iemand aan te stellen (dit kan dezelfde persoon zijn als uw AWW-officier) om toe te zien op de naleving van AVG. Houd er rekening mee dat deze persoon geen specifieke werkgelegenheidsbescherming zal genieten, in tegenstelling tot iemand die is aangesteld als DPO.

22. HEBBEN BETROKKENEN SPECIFIEKE RECHTEN?

De AVG biedt de volgende rechten aan natuurlijke personen:

1. Het recht om geïnformeerd te worden: u moet informatie verstrekken waarin wordt uitgelegd dat u de door u verzamelde persoonsgegevens op een behoorlijke en transparante wijze verwerkt (bv. via een privacyverklaring). De informatie moet (i) beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn; (ii) geschreven in duidelijke en eenvoudige taal; en (iii) gratis zijn;

2. Het recht van inzage: het recht van inzage laat personen toe om zich op de hoogte te stellen van de verwerking van hun persoonsgegevens en de rechtmatigheid ervan te controleren. Op hun verzoek moet u kosteloos een kopie van de informatie verstrekken. Wanneer een verzoek kennelijk ongegrond of buitensporig is, kan een redelijke vergoeding worden aangerekend of kunt u weigeren gevolg te geven aan het verzoek. U zult de kennelijk ongegronde of buitensporige aard van het verzoek aan moeten tonen;

3. Het recht op rectificatie: als de gegevens onjuist of onvolledig zijn, heeft de betrokkene het recht om de gegevens te rectificeren;

4. Het recht op gegevenswissing (‘het recht op vergetelheid’): een persoon heeft het recht om de wissing of verwijdering van persoonsgegevens te vragen als er geen dwingende reden is voor de verdere verwerking ervan. Dit recht is niet absoluut en het verzoek kan onder bepaalde omstandigheden worden geweigerd (bijvoorbeeld indien de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting zoals AWW of voor de uitoefening of verdediging van rechtsvorderingen);

5. Het recht op beperking van de verwerking: u zult de verwerking van persoonsgegevens moeten beperken in de volgende omstandigheden:

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 16

(i) wanneer een persoon de juistheid van de persoonsgegevens betwist, dient u de verwerking ervan te beperken totdat u de juistheid van de persoonsgegevens hebt geverifieerd;

(ii) wanneer een persoon bezwaar heeft gemaakt tegen de verwerking (wanneer dit noodzakelijk werd geacht voor de vervulling van een taak van algemeen belang of een doel van gerechtvaardigde belangen), en u bent aan het overwegen of de dwingende gerechtvaardigde gronden van uw bedrijf prevaleren over deze van de persoon;

(iii) wanneer de verwerking onrechtmatig is en de persoon bezwaar maakt tegen wissing en vraagt beperking; en

(iv) als u de persoonsgegevens niet langer nodig hebt, maar de persoon de gegevens nodig heeft om een rechtsvordering in te stellen, uit te oefenen of te verdedigen;

6. Het recht op portabiliteit van gegevens: dankzij dit recht kunnen personen hun persoonsgegevens gemakkelijk, veilig en zonder belemmeringen voor de bruikbaarheid verplaatsen, kopiëren of overdragen van de ene IT-omgeving naar de andere. Dit recht is waarschijnlijk niet relevant of belangrijk voor u als diamanthandelaar;

7. Het recht om bezwaar te maken: personen hebben het recht om bezwaar te maken tegen:

(i) verwerking op basis van gerechtvaardigde belangen of de vervulling van een taak van algemeen belang/uitoefening van het openbaar gezag (inclusief profilering);

(ii) directe marketing (inclusief profilering); en

(iii) verwerking voor doeleinden inzake wetenschappelijk/historisch onderzoek en statistiek.

Diamanthandelaars moeten in dergelijke gevallen aan een dergelijk verzoek voldoen en de verwerking van de persoonsgegevens stopzetten, behalve:

(i) als u dwingende gerechtvaardigde gronden kunt aantonen voor de verwerking die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene; of

(ii) de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

8. Rechten met betrekking tot geautomatiseerde besluitvorming en profilering: u mag alleen geautomatiseerde besluitvorming en profilering verrichten in beperkte omstandigheden:

(i) indien noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;

(ii) als dit toegestaan is volgens een nationale wetgeving; of

(iii) als de betrokkene zijn/haar uitdrukkelijke toestemming heeft gegeven.

Als een dergelijke besluitvorming zou plaatsvinden, moet u de betrokkene informeren over de verwerking, eenvoudige manieren invoeren waarop de betrokkene om een menselijke tussenkomst kan verzoeken of een besluit kan aanvechten, en regelmatig controleren of de geautomatiseerde systemen werken zoals

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 17

bedoeld.

U moet op dergelijke verzoeken antwoorden binnen een maand na ontvangst van het verzoek. Deze periode van een maand kan worden verlengd met twee extra maanden in geval van complexe of uitgebreide verzoeken.

Merk echter op dat de bovenstaande rechten niet absoluut zijn en dat bepaalde beperkingen van toepassing zijn in specifieke omstandigheden. U kunt bijvoorbeeld weigeren om gevolg te geven aan het verzoek van een betrokkene als u de betrokkene niet kunt identificeren. Als het verzoek van een betrokkene kennelijk ongegrond of buitensporig is, kunt u ofwel een redelijke vergoeding aanrekenen die rekening houdt met de administratieve kosten, ofwel weigeren gevolg te geven aan het verzoek.

Er is ook een bijzondere relatie tussen de AVG en de AWW die de rechten van de betrokkenen beïnvloedt. Op basis van de AWW hebben betrokkenen geen recht van inzage, recht op rectificatie, recht op vergetelheid, recht op overdraagbaarheid van gegevens, recht om bezwaar te maken tegen verwerking (inclusief profilering), evenmin hebben zij het recht op de hoogte te worden gesteld in geval van een inbreuk in verband met persoonsgegevens, met betrekking tot informatie die door u wordt verwerkt overeenkomstig uw verplichtingen onder de AWW. Wat betreft het recht van de betrokkene op toegang tot zijn/haar persoonsgegevens die u hebt verwerkt in het kader van uw ‘ken-uw-klant’-verplichtingen onder de AML, kan de betrokkene dit recht onrechtstreeks uitoefenen via de Belgische Gegevensbeschermingsautoriteit.

23. WAT MOET IK DOEN IN GEVAL VAN DIEFSTAL OF VERLIES VAN PERSOONSGEGEVENS?

De definitie van een ‘inbreuk in verband met persoonsgegevens’ onder de AVG is breed en omvat een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Het blijft dus niet beperkt tot een kwaadwillige aanval op de IT-systemen, maar kan ook het gevolg zijn van een fout of nalatigheid van de werknemers van een diamanthandelaar.

Als een van uw werknemers bijvoorbeeld zijn/haar professionele laptop met persoonsgegevens verliest, dan is er sprake van een inbreuk in verband met persoonsgegevens. Dit zal ook het geval zijn als iemand (een werknemer of iemand anders) toegang heeft tot persoonsgegevens terwijl hij/zij daartoe niet bevoegd is.

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden binnen uw bedrijf, moet u deze zonder onredelijke vertraging melden aan de Belgische Gegevensbeschermingsautoriteit (www.privacycommission.be) en dit uiterlijk 72 uur nadat u er kennis van hebt genomen. Melding is niet vereist als de inbreuk waarschijnlijk niet zal resulteren in een risico voor de rechten en vrijheden van natuurlijke personen.

Indien vereist, moet in de melding minimaal het volgende worden vermeld:

• een beschrijving van de aard van de inbreuk in verband met persoonsgegevens, inclusief het aantal en de categorieën van betrokkenen en persoonsgegevensregisters in kwestie;

• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt;

• een beschrijving van de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; en

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 18

• een beschrijving van de maatregelen om de inbreuk aan te pakken, waaronder alle genomen of voorgestelde risicobeperkende maatregelen.

Bovendien moet u de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens ‘grote risico's voor de rechten en vrijheden van de natuurlijke persoon’ met zich kan brengen.

Als diamanthandelaar dient u zich op deze verplichting voor te bereiden door een duidelijk beleid inzake inbreuken in verband met persoonsgegevens aan te nemen, waarin de verantwoordelijkheden worden toegewezen en de procedures voor het geval van inbreuken worden uiteengezet, zodat de autoriteiten binnen de door de AVG opgelegde strikte termijn op de hoogte kunnen worden gebracht. Een voorbeeld van een dergelijk beleid inzake inbreuken in verband met persoonsgegevens werd voorbereid door AWDC en kunt u hier raadplegen.

24. WELKE DOCUMENTEN ZAL AWDC U TER BESCHIKKING STELLEN EN HOE ZE TE GEBRUIKEN?

AWDC heeft documenten voor u opgesteld die u kunt gebruiken als sjablonen in uw bedrijf om naleving met de AVG te verzekeren. Een richtlijn over het gebruik van de sjablonen vindt u hier. In elk van de bovenstaande vragen waarvoor een van deze documenten relevant is, wordt ernaar verwezen, zodat u weet waarvoor ze bedoeld zijn en wat u ermee moet doen.

De volgende documenten zijn voor u beschikbaar:

• Een Richtlijn over het gebruik van de sjablonen;

• Een DPIA-vragenlijst;

• Een externe privacyverklaring om uw betrokkenen te informeren;

• Een privacyverklaring voor werknemers om uw werknemers te informeren;

• Een intern privacybeleid om uw werknemers te informeren over hoe ze moeten omgaan met persoonsgegevens;

• Een voorbeeld van een vertrouwelijkheidsclausule om op te nemen in uw arbeidsovereenkomsten; (Beleid inzake gegevensbescherming)

• Een toestemmingsformulier met betrekking tot uw directe marketingactiviteiten; (Gegevensbeschermingsclausule)

• Een beleid inzake inbreuken in verband met persoonsgegevens; en

• Een voorbeeld van een algemene melding in overeenstemming met artikel 64, §3 AWW.

AWDC | V&A over AVG voor de Diamantsector

Versie van 21 juni 2018

Private stichting - Antwerp World Diamond Centre (AWDC) • Hoveniersstraat 22, BE-2018 Antwerpen, België T +32 3 222 05 11 • F +32 3 222 05 99 • info@awdc.be • www.awdc.be • BTW - BE 0885.969.987 19

AWDC is niet aansprakelijk voor eventuele verliezen of schade als gevolg van de V&A of het gebruik van de hiervoor genoemde aan u ter beschikking gestelde documenten.