CBPL
Commissie voor de bescherming van de persoonlijke levenssfeer
CPP
Commission for the protection of privacy
CPVP
Commission de la protection de la vie privée
ASP
Ausschuss für den Schutz des Privatlebens
Jaarverslag
2013
Inhoudsopgave Deel 1: De Privacycommissie
8.3 Informatie, klachtafhandeling en bijstand in uitoefening rechten en plichten
1
Bevoegdheden van de Privacycommissie
9
2
Samenstelling van de Privacycommissie
10
3
Structuur van de Privacycommissie
8.4
in cijfers
56
8.5
Kerndossiers Privacycommissie 2013 in cijfers
59
8.6
Vraag en Antwoord dossiers Privacycommissie 2013 in cijfers
12 8.7
4
Bestuursplan van de Privacycommissie
13
4.1
Integratie van de sectorale comités
13
4.2
Informatie aan het publiek
13
4.3 Ondersteuning van de Privacycommissie en de 4.4
sectorale comités
14
Internationale samenwerking
14
4.5 Handhavingsbeleid
14
4.6
15
Aangiften en openbaar register
4.7 Informatiebeveiliging
Privacycommissie 16 5.1 Gezondheid
16
5.2
Politie, justitie en veiligheid
19
5.3
Administratieve vereenvoudiging
24
5.4
Financiën en fiscaliteit
25
5.5 Informatie- en Vervoer en mobiliteit
5.7 Varia
1 2
76
2.1
Privacycommissie loco Statistisch Toezichtscomité
76
2.2
Sectoraal comité van het Rijksregister
76
2.3
Sectoraal comité voor de Federale Overheid
81
2.4
Sectoraal comité van de Sociale Zekerheid en van de Gezondheid
82
3
Activiteiten van de sectorale comités in cijfers 85
3.1
Sectoraal comité van de Sociale Zekerheid en van de Gezondheid
85
Sectoraal comité voor de Federale Overheid
85
30
3.3
Sectoraal comité van het Rijksregister
85
3.4
Sectoraal comité van de Kruispuntbank van Ondernemingen en Sectoraal Toezichtscomité Phenix
35
6.2 Aanbevelingen
39
6.3
39
4
85
Dossiers behandeld door de sectorale comités in 2013 86
4.1
Dossier behandeld door het Sectoraal comité van de Sociale Zekerheid en van
7 Belangrijkste internationale activiteiten van de Privacycommissie
41
Internationale conferenties
41
de Gezondheid: SCSZ&G-dossiers in cijfers 4.2
7.2 Werkgroep gegevensbescherming “Artikel 29” – Groep 29
Belangrijkste activiteiten van de
3.2
35
7.1
75
29
6.1 Adviezen Aanbevelingen Latere Verwerking
De sectorale comités in een notendop
sectorale comités
6 Lijst van beslissingen van de Privacycommissie in 2013
69
Deel twee: de sectorale comités
communicatietechnologie 28 5.6
66
Aangifte- en kennisgevingsdossiers 2013 in cijfers
15
5 Belangrijkste nationale activiteiten van de
54
Beslissingsdossiers Privacycommissie 2013
86
Dossiers behandeld door het Sectoraal comité voor de Federale Overheid:
43
7.3 IWGDPT (International Working Group on
FO-MA dossiers in cijfers 4.3
87
Dossiers behandeld door Statistisch
Data Protection in Telecommunication)
49
Gemeenschappelijke controleorganen
50
4.4
reglementair kader voor gegevensbescherming
50
4.5
8
Activiteiten van de Privacycommissie in cijfers
53
8.1
Regelgeving en normering
53
54
5
Vergelijkende analyse: 2012 - 2013 96
5.1
Openen van dossiers
96
5.2
Afsluiten van dossiers
97
7.4
Toezichtscomité: STAT-MA dossiers in cijfers
7.5 Hervorming van het Europees
90
Dossiers behandeld door het Sectoraal comité van het Rijksregister: RR-MA dossiers in cijfers
92
Dossiers behandeld door het Sectoraal comité van de Kruispuntbank van Ondernemingen:
8.2 Handhavingsbeleid
KBO dossiers in cijfers
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
95
CPVP/CBPL
2013
#Snowden #Prism #Echelon #NSA #GCHQ #Belgacom #Swift #ADIVComitéI #SVStaatsveiligheid #TargetKnowledgeDatabase #ProtectAmericaAct #PatriotAct #Merkelgate #DilmaRousseff #RETRO #Fact-findingcommission #ExecutiveOrder12333 #Mystic #Jean-JacquesQuisquater
deel 1
Deel 1
De Privacycommissie
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
7
deel 1
1
Bevoegdheden van de Privacycommissie
De bevoegdheden van de Privacycommissie zijn vastgelegd in de Privacywet en de bijhorende uitvoeringsbesluiten. In grote lijnen vertalen deze bevoegdheden zich naar volgende activiteitsdomeinen: ••
advies verlenen aan de verschillende nationale wetgevers over wetteksten die verband houden met de bescherming van persoonsgegevens;
••
machtigingen verlenen voor de verwerking en het delen van persoonsgegevens en daarbij ook de beveiliging van gegevensverwerkingen evalueren;
••
controles en inspecties uitvoeren wat de naleving van de privacywetgeving betreft;
••
informatie verstrekken aan zowel het parlement, overheidsinstanties, verantwoordelijken voor gegevensverwerkingen als het grote publiek;
••
bijstand verlenen aan al deze doelgroepen om de privacywetgeving correct te doen naleven;
••
klachten behandelen over de verwerking van persoonsgegevens;
••
samenwerken met zusterorganisaties op Europees niveau en wereldwijd.
Meer informatie over elk van deze activiteitsdomeinen is beschikbaar op de website van de Privacycommissie (http://www.privacycommission.be).
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
9
2
Samenstelling van de Privacycommissie
Tot en met 2 mei 2013 was de Privacycommissie samengesteld uit.
Vaste leden Dhr. Willem Debeuckelaere (N)
Voorzitter
Dhr. Stefan Verschuere (F)
Ondervoorzitter
Mevr. Mireille Salmon (F)
Raadsheer bij het hof van beroep te Brussel
Dhr. Serge Mertens de Wilmars (F)
Docent
Mevr. Anne Vander Donckt (N)
Notaris
Dhr. Frank Robben (N) Administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (KSZ) en van het eHealth-platform Dhr. Peter Poma (N)
Vrederechter - kanton Brasschaat
Mevr. Anne Junion (F)
Advocaat
Plaatsvervangende leden Mevr. Nicole Lepoivre (F)
Erevoorzitter van de arbeidsrechtbank te Hoei Plaatsvervangend voorzitter
Dhr. Bart De Schutter (N) Emeritus gewoon hoogleraar aan de Vrije Universiteit Brussel (VUB) Plaatsvervangend ondervoorzitter Dhr. Jan Remans (N)
Reumatoloog
Dhr. Rudy Trogh (N)
Personeelschef bij de Nationale Bank van België (NBB)
Dhr. Eric Gheur (F)
Zaakvoerder-bestuurder van de bvba Galaxia I.S.E. en consultant voor
informatieveiligheid
Mevr. Françoise D’Hautcourt (F)
Directeur van het «Centre des Technologies pour l’Enseignement» (ULB)
Dhr. Frank Schuermans (N)
Advocaat-generaal bij het hof van beroep van Gent
Dhr. Yves Roger (F) Voorzitter van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid
10
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Op 3 mei 2013 legden onderstaande leden de eed af bij de heer André Flahaut, voorzitter van de Kamer van volksvertegenwoordigers. Het mandaat van achtste plaatsvervanger is vacant na ontslag door de oorspronkelijke mandaathouder, maar een procedure voor invulling van dit mandaat werd opgestart.
Vaste leden Dhr. Willem Debeuckelaere (N)
Voorzitter
Dhr. Stefan Verschuere (F)
Ondervoorzitter
Mevr. Anne Junion (F)
Advocate
Dhr. Frank Robben (N)
Administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (KSZ)
Dhr. Jo Baret (N)
Eresecretaris-generaal FOD Justitie
Dhr. Eric Gheur (F)
Bestuurder-Zaakvoerder Galaxia en buitengewoon hoogleraar Université
de Luxembourg
Dhr. Gert Vermeulen (N)
Hoogleraar Strafrecht Universiteit Gent
Mevr. Severine Waterbley (F) Algemeen Adviseur DG Telecommunicatie en Informatiemaatschappij – FOD Economie
Plaatsvervangende leden Dhr. Dirk Van Der Kelen (N)
Voorzitter rechtbank van eerste aanleg Dendermonde Plaatsvervangend voorzitter
Mevr. Mireille Salmon (F)
Raadsheer bij het hof van beroep in Brussel Plaatsvervangend ondervoorzitter
Dhr. Frank Schuermans (N)
Advocaat-generaal bij het hof van beroep van Gent
Dhr. Serge Mertens de Wilmars (F)
Docent
Dhr. Yves Roger (F) Voorzitter van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid Dhr. Ivan Vandermeersch (N)
Secretaris-generaal BDMA
Dhr. Joel Livyns (F)
Docent Frans vreemde taal
Achtste mandaat
N.N.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
11
3
Structuur van de Privacycommissie
De Privacycommissie telt zestien leden. Hun mandaat duurt zes jaar. De voorzitter is een magistraat. De hoge leiding zorgt voor het dagelijks beheer van de Privacycommissie en van haar vertegenwoordiging. De Privacycommissie omvat sectorale comités. De Privacycommissie wordt ondersteund door een secretariaat. Meer informatie over de structuur en de werking van de Privacycommissie en haar secretariaat is beschikbaar op de website http://www.privacycommission.be/nl in de rubriek “Over CBPL”.
12
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
4
Bestuursplan van de Privacycommissie
Het bestuursplan beschrijft de bevoegdheden en belast de voorzitter met
opgesteld. Beraadslagingen worden door een pool deskundige juristen voorbereid en de eenvormigheid/consistentie van de voorstellen van beslissingen wordt door een secretaris-jurist bewaakt.
••
de hoge leiding van de Privacycommissie;
••
het bepalen van zijn beleid;
••
de vertegenwoordiging van de Privacycommissie op nationaal en
De activiteiten van het Statistisch Toezichtscomité werden verzekerd
internationaal niveau;
door de Privacycommissie zelf, overeenkomstig artikel 16 van het
het dagelijks beheer van de Privacycommissie en de leiding van de
Koninklijk Besluit van 7 juni 2007, waarin bepaald is dat de Privacy-
diensten via delegatie aan de administrateur;
commissie de bevoegdheden van het comité uitoefent totdat in de
het voorzitterschap van de vergaderingen van de Privacycommissie
samenstelling ervan is voorzien.
•• ••
of deelgroepen; ••
het voorzitterschap van rechtswege van de sectorale comités,
4.2 Informatie aan het publiek
en in voorkomend geval coördinatie tussen de voorzitters van de verscheidene sectorale comités.
Een van de strategische doelstellingen van de Privacycommissie in haar bestuursplan is dat ze wil bijdragen aan betere informatie voor
Belangrijk in 2013 waren onderstaande punten.
4.1 Integratie van de sectorale comités
het publiek (verantwoordelijken voor de verwerking en datasubjecten). Enerzijds antwoorden de diensten van de afdeling Externe Betrekkingen op vragen om informatie, anderzijds wil de Privacycommissie via actieve communicatie informatie ter beschikking stellen van het
Krachtens artikel 31bis Privacywet worden de specifieke bescher-
publiek.
mingsorganen die reeds bij wet waren opgericht, en de specifieke beschermingsorganen die de wetgever in de toekomst nodig acht of
Deze
voornemens is in te stellen in een aantal domeinen, geïntegreerd in de
actieve
communicatie
gebeurt
http://www.privacycommission.be
Privacycommissie.
http://www.ikbeslis.be. Ook in 2013 was het doel van de website ‘ik
en
via de
de
hoofdwebsite
kleinere
broer/zus
beslis’ om kinderen en jongeren bewust te maken van het feit dat ze Op dit ogenblik kan gewag worden gemaakt van zes opgerichte
bij hun activiteiten online hun privacy kunnen beschermen als ze dat
sectorale comités, waarvan er nog één moet worden samengesteld:
wensen. De inhoud is erop gericht jongeren te helpen bij het ontwikkelen van een privacy-vriendelijke attitude, voor zichzelf maar ook ten
••
het Sectoraal comité van de Sociale Zekerheid en van de Gezond-
aanzien van de anderen. In 2013 werd de website grafisch en inhou-
heid (SC SZ&G) met twee afdelingen, nl. de afdeling “Sociale Zeker-
delijk vernieuwd en aangevuld met nieuwe teksten. Maar onder meer
heid” en de afdeling “Gezondheid”;
via de deelname aan een aantal academische onderzoeksgroepen
••
het Sectoraal comité van het Rijksregister (SC RR);
zoals EMSOC en SPION , werd het voor het ‘ik beslis’-team stilaan
••
het Sectoraal comité voor de Federale Overheid (SC FO);
duidelijk dat er meer nodig is om jongeren bewust te maken van hun
••
het Sectoraal comité van de Kruispuntbank van Ondernemingen
privacy. Wat eerst begon als een website voor jongeren, evolueerde in
(SC KBO);
2012 en 2013 naar een heus ‘ik beslis’-project, waarbij volop ruimte
••
het Sectoraal Toezichtscomité Phenix (SC Phenix);
is voor meerdere acties en initiatieven. Het ondersteunend ik beslis”-
••
het Statistisch Toezichtscomité (SC STAT).
team bestaat uit een groepje medewerkers van de Privacycommissie, allen met verschillende achtergrond maar met één gemeenschappe-
Voor het Statistisch Toezichtscomité werden de kandidaturen
lijke overtuiging, jongeren helpen en stimuleren bij de ontwikkeling van
ontvangen, maar werd de aanstellingsprocedure nog niet afgerond.
hun privacyreflex.
Voor het Sectoraal comité van het Rijksregister en het Sectoraal
Toneelstuk Net op ‘t Net met bijhorend lespakket
comité voor de Federale Overheid liep het mandaat van de leden af in 2013. De procedure voor de aanstelling en beëdiging van nieuwe
Het ‘ik beslis’-project werd opgenomen als onderzoeksopdracht
externe leden kon niet afgewerkt worden voor eind 2013.
actuele gevalstudies voor de masterstudenten communicatiewetenschappen van de VUB. Dit onderzoek resulteerde in een aantal
De oude leden verzekerden de continuïteit van de werking van deze
voorstellen van budget-neutrale en originele projecten. Het ‘ik beslis’
sectorale comités.
team weerhield uit die voorstellen een theatervoorstelling over privacybescherming en bewustwording van privacy. Er werd gezocht naar
Voor elk van de sectorale comités, uitgezonderd het Secto-
een toneelgezelschap gespecialiseerd in jeugdtheater dat in opdracht
raal Toezichtscomité Phenix, werd een volledig vergaderschema
van de Privacycommissie een toneelstuk zou schrijven over online
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
13
activiteiten en privacy, maar geënt op de leefwereld van kinderen van
te communiceren en na te gaan of zijn doelpubliek en doelstelling
het basisonderwijs. Al gauw bleek dat Paco Producties zeer bereid
werd bereikt.
was een geheel nieuw theaterstuk te schrijven gebaseerd op de verhalen van de ‘ik beslis’-website. Hun voorwaarde was echter dat met het theaterstuk een lespakket zou samengaan. Door hun voeling
4.3 Ondersteuning van de Privacycommissie en de sectorale comités
met de scholen waren zij ervan overtuigd dat de scholen alleen op die manier enthousiast zouden intekenen. De opvoering van het toneel-
Het secretariaat biedt ondersteuning aan de Privacycommissie en
stuk “Net op ’t Net” ging van start in september 2013 en werd al vele
de sectorale comités onder de vorm van voorbereiding en vooraf-
keren geboekt. De reacties vanuit de scholen zijn zeer positief en ook
gaande analyses. De kwaliteit van die ondersteuning is onder meer
de leerlingen blijken heel erg mee te leven met de realistische, online-
te danken aan de snelheid en volledigheid waarmee de commissa-
avonturen van de personages.
rissen worden ingelicht over voorbereidende werken. Daartoe wordt gebruik gemaakt van een applicatie waarmee adviesaanvragen van bij
Lespakket voor het basisonderwijs
creatie van het dossier tot verzending van het definitieve advies online beschikbaar kunnen worden gemaakt aan alle commissarissen en alle
Het ‘ik beslis’-team werkte een volledig lespakket uit dat zowel kadert binnen ICT-educatie, het vak mediawijsheid en wereldoriëntatie. In het lespakket “Jong en bewust van mijn privacy” werd rekening
medewerkers van het secretariaat.
4.4 Internationale samenwerking
gehouden met de leeftijdseigenschappen van kinderen uit de 3de graad van het basisonderwijs. Het is opgebouwd rond drie delen. Een
Het voorzitterschap en het secretariaat namen deel aan de verschil-
eerste deel draait rond het concept privacy, het tweede deel is het
lende geïnstitutionaliseerde internationale werkgroepen en vergade-
komisch, educatief toneelstuk “Net op ’t Net” en het derde deel moet
ringen. De jaarlijkse lenteconferentie vond plaats in Luxemburg en
jongeren bewust maken van hun privacy bij onlineactiviteiten en van
de wereld (herfst)conferentie vond plaats in Polen. Veel aandacht
de mogelijkheid die te beschermen als ze dat wensen. Dit lespakket
ging naar de voorbereiding van de nieuwe regelgeving die de huidige
wordt nu uitgetest in een basisschool, die bereid was te fungeren als
Richtlijn 95/46/EG eventueel zal vervangen. Uitgebreidere informatie
proefschool. De lessen zullen worden aangepast naar de bevindingen
daarover is beschikbaar in het hoofdstuk “Belangrijkste internationale
van de leerkrachten van het 5e en 6e leerjaar van de Vrije Basisschool
activiteiten van de Privacycommissie”.
Kruishoutem. Zij probeerden in november 2013 het eerste en tweede deel uit.
4.5 Handhavingsbeleid
Inschrijving in Klascement.be
Qua handhavingsbeleid moet voor het Europees Centrum voor vermiste en seksueel uitgebuite kinderen worden gemeld dat het in
Om meer en directer contact te kunnen hebben met leerkrachten,
de Privacywet aangekondigde koninklijk besluit dat de taken van de
meldde het ‘ik beslis’-team zich eind 2012 aan als nieuw lid bij Klas-
aangestelde voor de gegevensverwerking, de wijze waarop die deze
cement.be. Het team leerde deze website kennen via de werkverga-
taken moet uitvoeren en de wijze waarop het Centrum verslag dient
deringen van het Emsoc-onderzoek. Klascement is een educatieve
uit te brengen aan de Privacycommissie, nog steeds niet is uitge-
portaalsite, die samen met leerkrachten een klassement uitbouwen
vaardigd.
met waardevol lesmateriaal. Dit forum is uitgegroeid tot het vertrekpunt voor vele leerkrachten in Vlaanderen èn Nederland. Het team
Het secretariaat ontwikkelde initiatieven om de kwaliteit van
post geregeld een bijdrage die telkens goed wordt ontvangen en
antwoorden te verbeteren in dossiers die kaderen in artikel 13 (voor
gewaardeerd. Zo postte het team onder meer lesmateriaal rond de
zogenaamde onrechtstreekse toegang tot gegevens verwerkt door
aanmaak van een veilig profiel, het taggen van foto’s, aanmaken van
politie- en inlichtingendiensten). Het gebrek aan één contactpunt bij
een veilig e-mailadres en ook het lespakket “Jong en bewust van mijn
de federale politie, dat reeds vorig jaar in het jaarverslag vermeld werd,
privacy”.
leidt nog steeds tot een lange antwoordtermijn in verschillende van deze dossiers. De ministers van Binnenlandse Zaken en van Justitie
Toekenning Trusty label en logo aan Ik Beslis
hebben in 2013 een omzendbrief verspreid t.a.v. de politiediensten waarin informatieverstrekking i.v.m. indirecte toegang strikter wordt
Op 27 september 2013 werd aan ‘ik beslis’ Trusty-label en bijhorend
geregeld. De Privacycommissie zal in 2014 ervaring opdoen over de
logo toegekend. Dit label en bijhorend logo staat voor kwaliteits-
effecten van deze omzendbrief.
volle informatie op maat van kinderen, tieners en jongeren. Het logo staat op brochures, folders en websites die betrouwbare kinder- en jeugdinformatie aanbieden. Als drager van het Trusty-label engageert ‘ik beslis’ zich onder meer om betrouwbare jeugdinformatie te verstrekken, zijn visie en missie helder en open naar de buitenwereld
14
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
4.6 Aangiften en openbaar register Camera’s werden nog steeds in groten getale aangegeven, maar globaal genomen werden minder aangiften voor gegevensverwerkingen geregistreerd in 2013. Precieze cijfergegevens zijn beschikbaar in het hoofdstuk “Activiteiten van de Privacycommissie in cijfers”.
4.7 Informatiebeveiliging In 2012 vaardigde de Privacycommissie haar “richtsnoeren voor begunstigden van machtigingen” uit als aanvulling op haar “referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens”. Ze vervolledigde dit beveiligingskader begin 2013 met aanbeveling nr. 01/2013 van 21 januari 2013: aanbeveling uit eigen beweging betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken (zie 5.7.9).
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
15
5 Belangrijkste nationale activiteiten van de Privacycommissie 5.1 Gezondheid
5.1.2 Advies nr. 21/2013 van 5 juni 2013
5.1.1 Advies nr. 20/2013 van 5 juni 2013 en nr. 26/2013 van 17 juli 2013
••
Preventieve gezinsondersteuning;
••
Oprichting “Huizen van het Kind”.
••
Afschaffing van de SIS-kaart;
Het voorontwerp van decreet had als doel en ambitie om inhoudelijk
••
Controle van sociaal verzekerden.
en organisatorisch het maximum uit de preventieve gezinsondersteuning te halen, door netwerken op te richten (“Huizen van het Kind”
De Privacycommissie werd om advies verzocht omtrent een voor-
genaamd) waarin het diverse aanbod wordt samengebracht, afge-
ontwerp van wet dat voorzag in de afschaffing van de sociale iden-
stemd op de lokale noden en behoeften en maximaal toegankelijk
titeitskaart (“SIS-kaart”). De SIS-kaart werd gebruikt om sociaal
(herkenbaar) gemaakt.
verzekerden te identificeren en hun statuut in de ziekteverzekering te controleren. Door de afschaffing van de SIS-kaart verdwijnen deze
Het was echter geenszins de bedoeling om op het niveau van de
doelstellingen niet, maar worden ze op een andere manier gereali-
Huizen van het Kind een gecentraliseerde databank op te richten van
seerd.
de dossiers van de verschillende actoren voor hun aanbod inzake preventieve gezinsondersteuning (hulpverlening/zorgverstrekking).
Wat het luik “identificatie” betreft, wordt het Belgisch elektronisch identiteitsbewijs (de elD, de KidsID, de elektronische identiteitskaart
De enige verwerking van persoonsgegevens waarin het voorontwerp
voor niet-Belgische onderdanen van de Europese Unie, de elektroni-
van decreet voorzag, wordt door Kind en Gezin verricht op basis
sche verblijfstitel voor onderdanen van een land buiten de Europese
van de gegevens meegedeeld door de actoren werkzaam binnen de
Unie) gebruikt. Degenen die geen aanspraak kunnen maken op een
Huizen van het Kind. Doelstelling is de handhaving van erkennings-
elektronisch identiteitsbewijs, alsook alle kinderen jonger dan twaalf
en subsidievoorwaarden enerzijds, en wetenschappelijk en statistisch
jaar ontvangen een nieuwe “ISI+-kaart” als identificatiemiddel.
onderzoek met het oog op beleidsvoorbereiding en –evaluatie anderzijds.
Wat het luik “statuut in de ziekteverzekering” van de sociaal verzekerde betreft, wordt dit statuut achterhaald door een raadpleging van
De Privacycommissie had begrip voor het feit dat het niet steeds
de gegevensbanken van de respectieve verzekeringsinstellingen.
eenvoudig, mogelijk of wenselijk is om in een regelgevend document alle concrete (categorieën) persoonsgegevens te beschrijven die voor
In haar advies nr. 20/2013 van 5 juni 2013 gaf de Privacycommissie
elk doeleinde zullen worden verwerkt.
het voorontwerp van wet een gunstige beoordeling, gelet op het feit dat dit voorontwerp twee onmiskenbare voordelen op het vlak van
Aangezien de Privacycommissie in dit geval zelfs geen marginale
privacy-bescherming met zich meebracht. Ten eerste worden er geen
toetsing kon uitvoeren van de proportionaliteit in de zin van artikel
gevoelige gegevens meer op elektronische kaarten geplaatst (die
4, §2, 3 van de Privacywet, leek het aanbevolen dit dan minstens in
bij verlies of diefstal door onbevoegden zouden kunnen geconsul-
een later stadium te laten gebeuren door een sectoraal comité van
teerd worden). Ten tweede zijn de in deze context verwerkte gege-
de Privacycommissie, of een andere instantie of toezichthouder met
vens meer up to date (nauwkeuriger), aangezien ze rechtstreeks in
een machtigingsbevoegdheid in het kader van de toepassing van de
de authentieke bronnen bij de ziekenfondsen geconsulteerd worden
Privacywet en haar uitvoeringsbesluit van 13 februari 2001.
(i.p.v. op de kaart). De Privacycommissie drong er in haar advies dan ook op aan erin te Tegelijk maakte de Privacycommissie in haar advies nr. 20/2013 een
voorzien dat voor elke mededeling van persoonsgegevens aan Kind
aantal fundamentele opmerkingen die in hoofdzaak verband hielden
en Gezin een machtiging wordt gevraagd aan het sectoraal comité
met het feit dat het voorontwerp te vaag was op essentiële punten.
dat/de toezichthouder die daarvoor bevoegd verklaard is in het voor-
Enkele weken later werd haar omtrent dezelfde problematiek een
ontwerp.
ontwerp-KB ter advies voorgelegd, waarin meerdere leemtes die de Privacycommissie had aangekaart, werden opgevuld (zie advies nr.
Dit neemt uiteraard niet weg dat het ook steeds toekomt aan de
26/2013 van 17 juli 2013).
verantwoordelijke voor de verwerking (Kind en Gezin) om enkel die persoonsgegevens te verwerken die noodzakelijk zijn in het kader van het doeleinde waarvoor ze worden ingezameld.
16
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
De Privacycommissie adviseerde gunstig op voorwaarde dat volgende
bevoegde sectorale comités om de individualisering van patiënten-
aandachtspunten in het voorontwerp zouden worden verwerkt:
gegevens door het FAGG te vergemakkelijken; ••
•• ••
beval zij aan om in de mogelijkheid te voorzien om personen op te
de verschillende doeleinden van de gegevensverwerking moeten
sporen die niet over een identificatienummer van de sociale zeker-
duidelijk worden omschreven;
heid beschikken, bijvoorbeeld omdat zij geen in België ingeschreven
de verantwoordelijke voor de gegevensverwerking (Kind en Gezin)
sociaal verzekerden zijn.
moet de te verwerken categorieën van gegevens en de vorm steeds bepalen met respect voor de Privacywet en haar uitvoeringsbesluit; ••
5.1.4 Advies nr. 38/2013 van 4 september 2013
elke “mededeling” van persoonsgegevens moet vooraf gemachtigd worden door het/de daartoe bevoegde sectoraal comité of toezicht-
••
Doorgifte van urgentiegegevens aan de overheid;
houder.
••
Multifunctionele gegevensinzameling bij ziekenhuizen.
5.1.3 Advies nr. 34/2013 van 17 juli 2013
Dankzij dit ontwerp van koninklijk besluit, voor advies voorgelegd door de minister van Sociale Zaken en Volksgezondheid, zal de overheid
•• ••
Centralisatie van implanteerbare medische hulpmiddelen en infor-
kunnen beschikken over betrouwbare gegevens vanuit de spoedge-
matie over implantaties bij personen;
vallendiensten in ziekenhuizen, om snel beslissingen en maatregelen
Registratie bij het Federaal Agentschap voor Geneesmiddelen en
te kunnen nemen: alarmering van de gezondheidsnetwerken, betere
Gezondheidsproducten.
doorverwijzing naar ziekenhuizen, …
De Privacycommissie verstrekte een advies over het voorontwerp van
De Privacycommissie vond enerzijds dat het ontwerp van koninklijk
wet houdende centralisatie van implanteerbare medische hulpmid-
besluit op zich voldoende waarborgen bood wat de bescherming
delen (IMH’s) en van inlichtingen betreffende implantaties bij personen
van de persoonsgegevens van betrokkenen betreft, maar betreurde
bij het Federaal Agentschap voor Geneesmiddelen en Gezondheids-
anderzijds dat dit ontwerp niet optimaal inspeelde op de principes van
producten (hierna FAGG). De tekst verplicht de distributeurs van IMH’s
het actieplan e-gezondheid 2013-2018, namelijk evolutie naar een
hun producten te registreren bij het FAGG. Bovendien verplicht het
globale, goed gecoördineerde regeling van multifunctionele gegeven-
voorontwerp artsen die een implantatie uitvoeren deze te registreren
sinzameling bij ziekenhuizen, ter vervanging van de diverse specifieke
bij het FAGG en hierbij het identificatienummer of het bisnummer te
besluiten die telkens ad-hocgegevensstromen organiseren vanuit de
registreren van de betrokken persoon, het geslacht, de postcode, de
ziekenhuizen naar de overheid. Evenmin speelde de ontwerptekst
identificatie van het implantaat, alsook bijkomende informatie over de
volledig in op de bevoegdheden die zijn toegewezen aan de afdeling
inplanting (datum, lichaamsdeel enz.).
Gezondheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid, die te maken hebben met de aanduiding van de
De tekst die voor advies voorlag bepaalde eveneens dat het FAGG
exact mee te delen inhoudelijke gegevens en de concrete technische
de betrokken personen slechts mag identificeren (bijvoorbeeld via
context voor de gegevensinzameling.
toegang tot het Rijksregister of de Kruispuntbank van de Sociale Zekerheid) onder zeer strikte voorwaarden (bij hoogdringendheid
5.1.5 Advies nr. 53/2013 van 6 november 2013
of groot gevaar voor personen met een implantaat, of om deze personen te contacteren). In toepassing van het voorontwerp van wet
••
Mededeling van statistische gegevens over medische activiteiten
vereist.
••
TDI-registratie.
Het voorontwerp van wet laat de arts die de patiënt opereert even-
Het ontwerp van koninklijk besluit gaf in eerste instantie uitvoering aan
eens toe onder bepaalde voorwaarden de gegevens van de patiënt
artikel 92 van de wet van de op 10 juli 2008 gecoördineerde wet op
te raadplegen om meer te vernemen over de implantaten die deze
de ziekenhuizen en andere verzorgingsinrichtingen, dat erin voorziet
persoon reeds ontving.
dat de beheerder van een ziekenhuis alle statistische gegevens over
is een machtiging van het Sectoraal comité van de Sociale Zekerheid
aan de minister van Volksgezondheid;
medische activiteiten (waaronder ook gegevens over behandelingen De Privacycommissie verstrekte een gunstig advies en verheugde er
voor problematisch druggebruik) moet meedelen aan de minister die
zich over dat het voorontwerp via een wet de essentiële punten van
volksgezondheid onder zijn bevoegdheid heeft.
de verwerking regelde. Niettemin: Het ontwerp van koninklijk besluit wilde het verder voor de Belgi•• ••
oordeelde zij dat de bevoegdheid verleend aan de Koning om de
sche overheid mogelijk maken haar engagementen ten aanzien van
gegevens van de databank te wijzigen te ruim was;
de Europese Unie te respecteren inzake TDI–registratie (“Treatment
beval zij aan om hetzij in de wet toegang tot het Rijksregister toe
Demand Indicator” – registratie van behandelingsaanvragen), vooral
te laten, hetzij te voorzien in een generieke machtiging door de
voor de behandeling van (problematisch) druggebruik in algemene en
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
17
psychiatrische ziekenhuizen. Het Wetenschappelijk Instituut Volksge-
Het voorontwerp van decreet stroomlijnde gegevensdeling tussen
zondheid werd in België belast met het inzamelen van TDI-registraties
actoren in de zorg in Vlaanderen en gaf de zorggebruiker vat op deze
bij de diverse behandelingscentra, de bundeling ervan en het vervol-
gegevensdeling (opt-in, recht op inzage en toegang). Het nieuwe
gens overmaken aan het Europees Waarnemingscentrum voor Drugs
netwerk voor gegevensdeling creëerde ook een opportuniteit voor
en Drugsverslaving.
de administratie om automatisch rechten toe te kunnen kennen aan rechthebbende zorggebruikers.
De Privacycommissie was van oordeel dat het ontwerp van koninklijk besluit voldoende waarborgen zou kunnen bieden wat de bescher-
Hoewel de Privacycommissie het voorontwerp gunstig beoordeelde,
ming van de persoonsgegevens van de betrokkenen betreft, op voor-
maakte zij toch een aantal fundamentele opmerkingen. Zo zouden
waarde dat de variabelen die volgens het koninklijk besluit moeten
gegevensuitwisselingen via het netwerk door de afdeling Gezond-
worden geregistreerd minstens in een “Verslag aan de Koning”
heid van het Sectoraal comité van de Sociale Zekerheid en van de
zouden worden toegelicht. Dat zou transparanter zijn naar de burger/
Gezondheid worden gemachtigd en zouden de weigeringen van deze
betrokkene toe. De Privacycommissie adviseerde ook dat de mede-
afdeling Gezondheid aangevochten kunnen worden bij de Vlaamse
deling van gegevens uit de TDI-ziekenhuisregistratie aan derden maar
regering (na advies van de Vlaamse Toezichtcommissie). Deze
zou kunnen plaatsvinden na voorafgaande machtiging van het Secto-
“beroepsmogelijkheid” zou dus impliceren dat de Vlaamse regering
raal comité van de Sociale Zekerheid en van de Gezondheid.
(met andere woorden de uitvoerende macht) een beslissing van een onafhankelijk sectoraal comité naast zich neer kon leggen. De Priva-
5.1.6 Advies nr. 58/2013 van 27 november 2013
cycommissie stond hier vanzelfsprekend negatief tegenover.
••
Uitkeringsverzekering voor zelfstandigen en helpers;
Het voorontwerp stelde ook dat het agentschap dat het nieuwe
••
Gegevensfluxen tussen ziekenfondsen, RIZIV en verzekeringsinstel-
netwerk zal beheren bijkomende beveiligingsregels zou kunnen
lingen.
uitvaardigen. De Privacycommissie vestigde er de aandacht op dat bepaalde voorzieningen geconfronteerd dreigden te worden met
De minister van Sociale Zaken en Volksgezondheid verzocht de
regels van verschillende instanties (aangezien sommigen reeds
Privacycommissie om advies over het ontwerp van koninklijk besluit
onderhevig zijn aan regels van bestaande dienstenintegratoren), die
betreffende de verhoogde verzekeringstegemoetkoming, bedoeld
niet noodzakelijk coherent waren. Dit diende absoluut vermeden te
in artikel 37, § 19 van de wet betreffende de verplichte verzekering
worden omdat tegenstrijdige regels de beveiliging evident kunnen
voor geneeskundige verzorging en uitkeringen, gecoördineerd op
ondermijnen. Om een eenduidige, transparante en gecoördineerde
14 juli 1994 (hierna “het ontwerp”).
aanpak uit te bouwen, pleitte de Privacycommissie er dan ook voor om het principe te hanteren dat elke voorziening de regels dient te
Het ontwerp wenste een uitkeringsverzekering in te voeren ten voor-
volgen van de dienstenintegrator waarmee ze samenwerkt.
dele van zelfstandigen en helpers die zijn onderworpen aan de wetgeving houdende inrichting van het sociaal statuut der zelfstandigen, en
5.1.8 Uitbreiding permanente steekproef (EPS)
van meewerkende echtgenoten. Het besluit richt een aantal gegevensfluxen in waarin drie actoren
••
Rol van het IMA als gebruiker van de EPS;
••
Inhoudelijke verrijking van de EPS.
een verantwoordelijkheid krijgen: de ziekenfondsen, het RIZIV en de verzekeringsinstellingen. De voornaamste gegevensfluxen zijn een
Met artikel 24 van de wet van 19 maart 2013 houdende diverse bepa-
proactieve gegevensstroom in 2015 via de KSZ (vergelijking met de
lingen inzake gezondheid (I) werd een wettelijke basis gecreëerd voor
fiscale inkomsten bekend bij de belastingadministratie), en de verwer-
de potentiële uitbreiding van de permanente steekproef (EPS), zowel
kingen via normale aanvragen bij de ziekenfondsen.
wat toegang en gebruik ervan betreft als inhoud.
De Privacycommissie bracht een gunstig advies uit op voorwaarde
Bij koninklijk besluit van 9 mei 2007 tot uitvoering van artikel 278 van
van aanduiding van de diverse actoren als verantwoordelijke voor de
de programmawet (I) van 24 december 2002 werd het Intermutualis-
verwerking (mutualiteiten, verzekeringsinstellingen, RIZIV), verduidelij-
tisch Agentschap (IMA) gemachtigd een representatieve steekproef
king aangaande de appreciatiemarge van de administratie (RIZIV) mbt
van de Belgische bevolking samen te stellen uit gecodeerde sociale
het bepalen van de gegevens(categorieën) en publiciteit van de even-
persoonsgegevens die bij de ziekenfondsen beschikbaar zijn in het
tuele beslissingen van RIZIV aangaande de gegevens(categorieën).
kader van de verplichte verzekering voor geneeskundige verzorging. Deze EPS is een belangrijk beleidsinstrument bij de studie van de
5.1.7 Advies nr. 63/2013 van 10 december 2013
gezondheidszorg in België, vooral in het kader van uitgavenbeheersing, door een aantal wettelijk aangeduide zorginstellingen.
••
Nieuw netwerk voor gegevensdeling in de zorg;
••
Automatische toekenning van rechten aan zorggebruikers.
18
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Het nieuwe artikel 24 maakt het eerst en vooral mogelijk om via
Het voorontwerp beoogde de uitvoering van artikel 21 van de orga-
koninklijk besluit ook andere instellingen of verenigingen (naast RIZIV,
nieke wet inlichtingen- en veiligheidsdiensten. Dit artikel bepaalt dat
FOD Volksgezondheid, FOD Sociale Zekerheid, KCE, Federaal Plan-
de koning, na advies van de Privacycommissie, de termijn vastlegt
bureau en IMA) toegang te verlenen tot de EPS, op voorwaarde dat
voor de bewaring van de persoonsgegevens die door de inlichtingen-
hun wettelijke opdrachten dit rechtvaardigen en na advies van de
en veiligheidsdiensten werden verwerkt, na de laatste verwerking.
Privacycommissie. Bij koninklijk besluit van 21 maart 2013 tot wijziging van het koninklijk besluit van 9 mei 2007 tot uitvoering van artikel
Het beginsel vastgelegd in artikel 21 van de organieke wet inlich-
278 van de programmawet (I) van 24 december 2002 werd het IMA
tingen- en veiligheidsdiensten stelt dat persoonsgegevens die door
reeds toegevoegd aan de lijst van overheidsinstellingen die toegang
de bedoelde diensten werden verwerkt, worden bewaard voor een
kunnen hebben tot de EPS. In advies nr. 23/2012 formuleerde de
duur die niet langer mag zijn dan noodzakelijk voor de doeleinden
Privacycommissie een aantal suggesties over deze nieuwe rol van
waarvoor ze werden opgeslagen. Het gaat hier om een toepassing
het IMA, als gebruiker van de EPS (naast zijn rol als beheerder), o.m.
van de voorschriften van artikel 4, § 1, 5° van de Privacywet die
bijkomende garanties wat de bescherming van persoonsgegevens
verbiedt dat onjuiste, onvolledige, niet-relevante of in het licht van het
betreft. Deze garanties zijn quasi integraal in de tekst van het konink-
doeleinde niet ter zake dienende gegevens te verwerken. Er kan dan
lijk besluit overgenomen. Het betreft o.a. een effectieve en afdoende
ook geen sprake van zijn ze te bewaren en er kan geen enkele termijn
scheiding van beide functies binnen het IMA, het bijhouden van een
voor de verwerking worden bepaald.
login-journaal en een interne validatie door de consulent inzake informatiebeveiliging en bescherming van de persoonlijke levenssfeer.
De Privacycommissie benadrukte dat de voorziene termijn moet worden begrepen als een maximale bewaringstermijn. De bedoeling
Verder werd in de mogelijkheid voorzien om de EPS inhoudelijk te
van het koninklijk besluit is een procedure vastleggen voor systema-
verrijken en al dan niet permanent aan te vullen met bijkomende
tische vernietiging, waarbij de inlichtingen- en veiligheidsdiensten de
informatie en gegevens die beschikbaar zijn buiten het kader van
noodzaak zullen evalueren van de bewaring van gegevens die sedert
de EPS. Zo zou de EPS min of meer soepel up-to-date kunnen
een bepaalde tijd niet meer werden gebruikt. Gelet op de opdrachten
worden gehouden, met niettemin aandacht voor de bescherming van
van de inlichtingen- en veiligheidsdiensten en de vastgelegde speci-
persoonsgegevens.
fieke bewaringstermijnen wat de veiligheidsenquêtes betreft, hebben de bedoelde gegevens betrekking op gebeurtenissen, groeperingen
De inhoudelijke verrijking van de EPS zou mogelijk worden op 4
en personen die rechtstreeks de belangen van ons land bedreigen.
niveaus: Het voorontwerp stelde een bewaringstermijn van 50 jaar voorop, die ••
aanvulling met niet-persoonsgebonden statistische gegevens of
door de aanvrager uitgebreid werd verantwoord.
indicatoren van demografische en socio-economische aard, waarbij
••
wordt nagegaan of het resultaat redelijkerwijs niet leidt tot identifi-
De Privacycommissie vestigde de aandacht van de aanvrager op het
catie van de betrokkene;
feit dat de verantwoordelijke voor de verwerking verplicht is gedu-
aanvulling met andere persoonsgegevens waarover de verzeke
rende de gehele bewaarperiode, de proportionaliteit en de relevantie
ringsinstellingen beschikken maar die niet beschikbaar zijn binnen
van de gegevens voortdurend te beoordelen (artikel 4, §1, 3° van de
de EPS, en dit na machtiging van het Sectoraal comité van de
Privacywet).
Sociale Zekerheid en van de Gezondheid; •• ••
eenmalige verrijking met andere persoonsgegevens, en dit na
De verantwoordelijke voor de verwerking dient immers ook vóór die
machtiging van het bevoegde sectorale comité;
termijn is afgelopen na te gaan of de verwerkte gegevens juist, toerei-
permanente verrijking met andere persoonsgegevens via koninklijk
kend, ter zake dienend en niet overmatig zijn ten opzichte van de
besluit, na advies van de Privacycommissie.
nagestreefde doeleinden.
Het gebruik van de (uitgebreide) EPS blijft onder controle staan van
Het ontwerp werd goedgekeurd mits rekening zou worden gehouden
een technische commissie waarvan een vertegenwoordiger van de
met deze opmerkingen.
Privacycommissie deel uitmaakt.
5.2 Politie, justitie en veiligheid 5.2.1 Advies nr. 07/2013 van 20 februari 2013
5.2.2 Advies nr. 47/2013 van 2 oktober 2013 ••
Voorwaarden voor de verwerking van gegevens door de politie;
••
Nieuw statuut van het Controleorgaan op het politioneel informatiebeheer.
••
Bewaringstermijn van persoonsgegevens verwerkt door inlichtingen- en veiligheidsdiensten;
••
Procedure voor systematische vernietiging van gegevens.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
19
Het voorontwerp tracht de artikelen 44/1 tot 44/11 van de wet van
Categorieën van gegevens
5 augustus 1992 op het politieambt (hierna WPA) te vervangen die betrekking hebben op het politioneel informatiebeheer.
Wat de types gegevens aangaat, stelde de Privacycommissie voor de verwijzingen naar “basisregistraties” (bekentenis, onafhanke-
Het voorontwerp wijzigt het politioneel informatiebeheer niet zoals het
lijke convergerende getuigenissen, op heterdaad betrapt,...) recht-
vandaag functioneert, het integreert enkel de nauwkeurig omschreven
streeks op te nemen in de tekst van het voorontwerp, om het risico
werkingsmodaliteiten rechtstreeks in de wet.
te vermijden dat er een onaanvaardbare onduidelijkheid zou ontstaan over de voorwaarden om verdachten van een strafbaar feit in de ANG
De huidige van kracht zijnde beschikkingen delegeren de modali-
te registreren. Deze registratiecriteria zijn momenteel opgenomen in
teiten voor de verwerking van informatie en persoonsgegevens aan
MFO-3 en stonden in het ontwerp van koninklijk besluit dat aan de
de Koning en dit krachtens artikel 44/4 van de WPA. Dit koninklijk
Privacycommissie in 2007-2008 werd voorgelegd.
besluit is evenwel na 15 jaar nog altijd geen feit. De verwerkingsmodaliteiten zijn in dit geval voorwerp van ministeriële richtlijnen waarvan
Verantwoordelijkheid
de inhoud vertrouwelijk is (met name richtlijn MFO-3). Er bestonden geen regels inzake bewaring en deze zijn nu specifiek bepaald.
Het voorontwerp bepaalt specifieke verantwoordelijken voor de bijzondere gegevensbanken (korpschefs,...) maar niet voor de ANG
De komst van deze wet wordt dus gezien als een positieve stap, ook
en de basisgegevensbanken. Het zou zinvol zijn de rechtstreekse
al zijn er opmerkingen over de inhoud van de tekst.
oversten van de politiediensten verantwoordelijk te maken voor de registraties waarmee hun diensten werken.
Het voorontwerp bevat enerzijds regels over het politioneel informatiebeheer en anderzijds over het nieuw statuut van het Controleor-
Koppeling
gaan als “sectoraal comité sui generis”, dat afhangt van de Privacycommissie.
Er komen ministeriële richtlijnen aan die een kader moeten vastleggen voor de koppeling van de verschillende politionele gegevensbanken
Regels inzake beheer
of voor de koppeling met andere gegevensbanken waartoe de politiediensten wettelijk toegang hebben. De Privacycommissie vroeg
Deze regels bepalen de algemene principes, categorieën gegevens-
vooraf te worden geraadpleegd.
banken, de categorieën persoonsgegevens die daarin opgeslagen kunnen worden, de verantwoordelijkheid voor de verwerkingen, de
Regels inzake bewaring
koppeling tussen de gegevensbanken, de regels voor de bewaring en toegang tot de gegevens door de verschillende partners in de straf-
De aanvrager heeft een automatische archiveringstechniek (ANG)
rechts- en veiligheidsketen. In het ontwerpadvies wordt een aantal
of uitwissingstechniek (basisgegevensbank) op punt gesteld die
opmerkingen gegeven over elk van deze onderdelen. Hieronder wordt
de toegang tot de gegevens onmogelijk maakt of inperkt, na het
er een aantal van weergegeven:
verstrijken van de voorziene termijnen voor de betrokken gegevensbank en politionele opdrachten. Het zou wenselijk zijn dat dit beginsel
Algemene principes
van technische automatisering opgenomen werd in de tekst van de wet.
De Privacycommissie was verheugd over een zeer positief punt: er wordt niet langer verwezen naar het onduidelijke concept “concreet
Er wordt een kortere termijn bepaald voor de niet concrete feiten die
belang”, maar naar de proportionaliteitscriteria van artikel 4 van de
het voorwerp uitmaken van een informatierapport in de ANG, maar
Privacywet (toereikendheid terzake dienende en niet buitensporige
vreemd genoeg niet voor de basisgegevensbanken.
gegevens de toepassing van administratieve of gerechtelijke politie). Er wordt voorzien in criteria voor inkorting of verlenging van de
Categorieën van gegevensbanken
termijnen voor bewaring in de ANG. Met betrekking tot de termijnen worden de regels voor opschorting van de bewaartermijn in de ANG
Elk type van gegevensbank (algemeen (ANG), basisgegevensbank,
gebaseerd op beslissingen van een overheid (lopend onderzoek of te
bijzondere) streeft specifieke doeleinden na, zoals vermeld in het
nemen maatregelen), zonder erop toe te zien dat de mededeling over
voorontwerp. Wat de basisgegevensbanken betreft, kan dit doeleinde
het bijwerken van deze beslissingen is verzekerd.
niet worden beschouwd als een specifiek doeleinde, aangezien het gaat over een van de algemene doeleinden van de verwerking van de
Beveiliging van de gegevens
persoonsgegevens door de politiediensten. Op het vlak van beveiliging van de gegevens wordt de figuur van een consulent inzake beveiliging en gegevensbescherming geschapen.
20
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Deze wordt enkel geacht een rol te spelen op het vlak van beveiliging.
5.2.3 Advies nr. 55/2013 van 6 november 2013
Deze consulent is de contactpersoon voor de Privacycommissie, maar er wordt geen enkele specifieke bepaling vastgelegd in verband
••
Vervanging informatiesysteem Phenix door Just-X;
met de procedure van artikel 13 van de Privacywet (onrechtstreekse
••
Gebruik rijksregisternummer voor identificatie in Just-X.
toegang door de burgers tot hun gegevens in de politionele gegevensbanken).
Op 6 november 2013 bracht de Privacycommissie een gunstig advies onder voorbehoud uit over het wetsontwerp betreffende de wijziging
Toegang tot de gegevens
van sommige bepalingen met het oog op de elektronische procedure. Dit voorontwerp van wet vervangt het informatiesysteem “Phenix”
De Privacycommissie noteerde dat aan de lijst van nationale over-
door het informaticasysteem “Just-X”.
heden van de strafrechts- en veiligheidsketen die gebruik kunnen maken van de rechtstreekse bevraging van de ANG, de Cel voor
De Privacycommissie verstrekte een gunstig advies over de vaststel-
Financiële Informatieverwerking (CFI) en de onderzoeks- en opspo-
ling van de verantwoordelijke voor de verwerking in de persoon van
ringsdienst van de Administratie der douane en accijnzen worden
het beheerscomité, maar de Privacycommissie vestigt de aandacht
toegevoegd. De Memorie van Toelichting vermeldt niet waarom de
van de Minister op het feit dat er dient over gewaakt te worden dat
CFI toegevoegd wordt.
het comité een volwaardige juridische entiteit vormt die onafhankelijk is van de uitvoerende macht.
Het voorontwerp voorziet in zijn artikel 32, §4 in een reciprociteit in de gegevensmededelingen tussen de politiediensten en vermelde
De Privacycommissie bracht tevens een gunstig advies uit over de
Belgische openbare overheden, publieke organen of instellingen of de
afschaffing van het Toezichtscomité. De bevoegdheden zullen worden
instellingen van openbaar nut. Dergelijke mededelingen naar de poli-
overgeheveld naar de Privacycommissie en dit kadert in het oogmerk
tiediensten zouden moeten worden gemachtigd door het Sectoraal
van de Privacycommissie om het aantal Sectorale comités zo klein
comité voor de Federale Overheid behalve indien de mededelingen
mogelijk te houden.
door deze verschillende structuren daarvan vrijgesteld zijn. Het voorontwerp van wet kiest ervoor het identificatienummer van Het regime voor internationale mededelingen gaat verder dan het
het Rijksregister te gebruiken als identificatiemiddel voor partijen in
huidige regime aangezien het voorziet in gegevensmededelingen aan
Phenix (“Just-X”). De Privacycommissie heeft deze keuze goedge-
diensten van landen ten aanzien van wie de Belgische openbare over-
keurd omdat deze ter zake dienend lijkt en er veiligheidsmaatregelen
heden of politiediensten geen verplichtingen hebben krachtens een
gepland zijn die een tegengewicht vormen voor het feit dat de justi-
regel van internationaal recht waaraan België gebonden is. Voor niet-
tiële gegevens gecentraliseerd zullen zijn in Just-X (het nummer kan
Europese landen zijn enkel de regels inzake de internationale door-
niet als zoekopdracht worden gebruikt in Just-X, het nummer wordt
gifte van de artikelen 21 en 22 van de Privacywet van toepassing.
niet op de procedurestukken vermeld en is enkel toegankelijk voor
Deze mededelingen moeten ten minste het voorwerp uitmaken van
gemachtigde personen...)
een koninklijk besluit, na advies van de Privacycommissie.
5.2.4 Adviezen betreffende DNA-gegevensbanken Nieuw statuut voor het Controleorgaan op het politioneel informatiebeheer
••
Identificatieprocedure via DNA-analyse in strafzaken;
••
De internationale uitwisseling van DNA-profielen voor opsporing en
Het voorontwerp voorziet in een nieuw statuut van het Controleor-
vervolging van strafbare feiten.
gaan als “permanent sectoraal comité sui generis”, dat afhangt van de Privacycommissie, teneinde diens doeltreffende werking en onaf-
De Senaat verzocht om advies voor vijf verschillende wetsvoor-
hankelijkheid te garanderen.
stellen over het gebruik van DNA-gegevensbanken door justitie. Deze wetsvoorstellen werden behandeld in adviezen nr. 27/2013 van
Echter, er duiken te veel grijze zones en onzekerheden op omtrent dit
17 juli 2013 en nr. 39/2013 van 4 september 2013.
nieuwe statuut voor het controleorgaan, vooral wat betreft de samenstelling en hoofdzakelijk wat betreft de concrete werking.
Het wetsvoorstel tot wijziging van artikel 8 van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse,
Het advies was gunstig voor wat betreft de regels betreffende het
teneinde de internationale uitwisseling van DNA-gegevens te verge-
informatiebeheer op voorwaarde dat rekening wordt gehouden met
makkelijken (S. 5 1831) betreft het gelijktrekken van de procedure
de gemaakte opmerkingen, maar de bezwaren van de Privacycom-
voor de internationale uitwisseling van DNA-profielen. De Privacycom-
missie met betrekking tot het nieuwe statuut van het Controleorgaan
missie meende dat het wetsvoorstel in essentie een technisch-orga-
waren van dien aard dat zij een negatief advies uitbracht over het
nisatorische kwestie betreft, er wordt immers geen ruimere toegang
tweede deel van het ontwerp van koninklijk besluit.
tot onze DNA-profielen gegeven. De Privacycommissie oordeelde
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
21
evenwel dat de controlebevoegdheid van de aangestelde voor gege-
nieuw opgesteld DNA-profielen met de DNA-gegevensbank “Interve-
vensbescherming expliciet uitgebreid moet worden tot internationale
nanten”, zoals voorgesteld in amendement nr. 9, was ontoereikend
uitwisseling en dat hierover verslag moet worden uitgebracht aan de
gemotiveerd gelet op de onderscheiden belangen die spelen. De
Privacycommissie.
transparantie naar intervenanten toe was verre van optimaal geregeld in het wetsvoorstel, zowel wat het tijdstip van de kennisgeving betreft
Het wetsvoorstel tot wijziging van de wet van 22 maart 1999 betref-
als de inhoud.
fende de identificatieprocedure via DNA-onderzoek in strafzaken met het oog op de oprichting van een DNA gegevensbank “Vermiste
Het wetsvoorstel tot wijziging van het Wetboek van strafvordering
personen” (S. 5 1633) is bedoeld om de zoektocht naar vermiste
en de wet van 22 maart 1999 betreffende de identificatieprocedure
personen en de identificatie van onbekende overledenen te onder-
via DNA-onderzoek in strafzaken, met het oog op de invoering van
steunen.
een DNA gegevensbank “Inverdenkinggestelden en verdachten” (S. 5 1576) had tot doel een DNA-gegevensbank op te richten waarin
De Privacycommissie achtte de oprichting van een DNA-gege-
de DNA-profielen van bepaalde inverdenkinggestelden en verdachten
vensbank “Vermiste personen” in principe legitiem. De definitie van
worden opgeslagen wanneer sprake is van bepaalde ernstige feiten.
vermiste zou moeten worden aangepast om enkel “onrustwekkende
In tegenstelling tot wat vandaag het geval is, wilde het voorstel ook
verdwijningen” te viseren, ongeacht de duur van de verdwijning.
bij een buitenvervolgingstelling of een vrijspraak profielen bewaren.
DNA-profielen vrijwillig afgestaan door bloedverwanten kunnen enkel gebruikt worden om de verdwijning op te lossen, met inbegrip van
De indieners van het wetsvoorstel dienden een amendement tot
een onderzoek naar eventuele betrokkenheid van het familielid. De
schrapping van de categorie “verdachten”. Mits dit amendement zou
Privacycommissie meende dat familieleden van vermisten op hun
worden aangenomen en mits rekening zou worden gehouden met
verzoek gewist moeten worden uit de databank. Vermisten dienen,
een aantal opmerkingen bracht de Privacycommissie een gunstig
eens teruggevonden, geïnformeerd te worden over de opname van
advies uit. In het bijzonder dient een profiel gewist te worden zodra
hun DNA-profiel in de databank. Deze kennisgeving moet duidelijke
een beslissing tot vrijspraak in kracht van gewijsde is gegaan en
informatie bevatten over alle vergelijkingen met alle DNA-gegevens-
dienen de bepalingen met betrekking tot de kennisgeving aangepast
banken, wat in het voorliggend wetsvoorstel niet het geval is.
te worden.
Het wetsvoorstel tot uitbreiding van de regeling van de verplichte
De Privacycommissie achtte de verplichting om de DNA-profielen
DNA-afname bij bepaalde groepen van veroordeelden (S. 5-844)
in de voorgestelde nieuwe DNA-gegevensbanken enkel op te slaan
strekt ertoe iedereen die veroordeeld wordt tot een effectieve gevan-
onder hun DNA-codenummer een goede organisationele maatregel
genisstraf van minimum drie jaar op te nemen in de DNA-gegevens-
ter beveiliging van de gegevens.
bank “Veroordeelden” – bovenop degenen opgenomen op grond van de lijst van misdrijven uit de huidige wet. Voor de Privacycommissie
De Privacycommissie betreurde evenwel dat de wettelijk geldende
werden onvoldoende inhoudelijke elementen aangedragen ter moti-
privacywaarborgen voor een deel dode letter zijn gebleven. Zo is er
vering van de gekozen drempel van 3 jaar effectieve gevangenisstraf
nog steeds geen aangestelde voor de gegevensbescherming aange-
om de proportionaliteit van het voorstel te beoordelen. Bijgevolg
steld bij het NICC, hoewel de verplichting al sinds 1999 in de wet is
besloot de Privacycommissie tot een negatief advies.
ingeschreven.
Het wetsvoorstel tot wijziging van het Wetboek van strafvordering en
5.2.5 Evaluatie van advies nr. 20/2009 van 1 juli 2009
van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-onderzoek in strafzaken, met het oog op de oprichting van een DNA gegevensbank “Intervenanten” in strafzaken (S. 5-1634)
••
Dataretentie in de telecomsector.
kaderde in de beheersing van het risico op contaminaties in het DNA-onderzoek door personen (intervenanten) die door hun hoeda-
De Privacycommissie bracht op 1 juli 2009 een voorwaardelijk positief
nigheid betrokken zijn bij de opsporing, analyse en verwerking van
advies uit inzake het voorontwerp van wet en het ontwerp van konink-
DNA-materiaal. Het wetsvoorstel vermijdt dat telkens opnieuw van
lijk besluit inzake dataretentie, en het ontwerp van koninklijk besluit
dezelfde intervenant DNA-materiaal moet worden afgenomen om een
inzake de medewerkingsplicht.
DNA-profiel op te stellen. Inmiddels verschenen voormelde wetteksten in het Belgisch StaatsDe Privacycommissie achtte de oprichting van een DNA-gegevens-
blad onder de vorm van de Wet van 30 juli 2013 houdende wijziging
bank “Intervenanten” in principe legitiem, maar had enkele bemer-
van de artikelen 2, 126 en 145 van de Wet van 13 juni 2005 betref-
kingen betreffende de uitwerking ervan in het wetsvoorstel, in het
fende de elektronische communicatie en van artikel 90decies van het
bijzonder de wijze waarop de databank bevraagd zal worden –
Wetboek van Strafvordering, en het Koninklijk Besluit tot uitvoering
punctueel of systematisch. Een systematische vergelijking van elk
22
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
van artikel 126 van de Wet van 13 juni 2005 betreffende de elektroni-
Verder voorziet het voorontwerp in een mogelijkheid voor de Koning
sche communicatie.
om de plaatsing van bewakingscamera’s, de opname van beelden en de bewaring ervan gedurende één maand op te leggen om veilig-
Uit de evaluatie van voormelde wet van 30 juli door de Privacycom-
heidsredenen., wat diverse vragen oproept. Momenteel is de bewa-
missie bleek dat haar advies goed werd opgevolgd door de wetgever.
ringstermijn immers maximaal één maand, en is bewaring bovendien
Haar opmerkingen werden helemaal of minstens gedeeltelijk opge-
niet verplicht.
volgd. Tot slot zijn er een aantal onduidelijkheden. Het voorontwerp maakt Ook uit de evaluatie van het voormelde koninklijk besluit bleek dat
bijvoorbeeld noch melding van camera’s die geluidsfragmenten
de opmerkingen van de Privacycommissie goed werden opgevolgd.
kunnen opnemen, noch van andere toepassingsgevallen van camera’s (bijvoorbeeld thermische camera’s), die de politiediensten mogelijk
5.2.6 Camerawet
kunnen gebruiken. De aangepaste definitie van een mobiele camera kan verwarring creëren. Het samenspel tussen de diverse bestaande
De Privacycommissie krijgt nog steeds veel klachten en vragen over
camerawetgevingen en de aangepaste regeling inzake niet-besloten
camerabewaking en de Camerawet. Naast het beantwoorden van
plaatsen dient eveneens te worden verduidelijkt. Ten slotte is de rege-
individuele dossiers geeft ze ook regelmatig advies over wetgevende
ling rond het recht van toegang tot de beelden van bewakingscamera
initiatieven tot aanpassing van de camerawetgeving. In 2013 bracht
niet volledig duidelijk.
zij 3 verschillende adviezen uit in deze context. Aangezien het voorontwerp zijn merites heeft, suggereerde het advies
Advies nr. 42/2013 van 2 oktober 2013
bijgevolg om de tekst positief te beoordelen, mits rekening zou worden gehouden met de verschillende opmerkingen.
De Privacycommissie gaf op 2 oktober 2013 advies over een voorontwerp van wet tot wijziging van de wet van 21 maart 2007 tot
Advies nr. 49/2013 van 15 oktober 2013
regeling van de plaatsing en het gebruik van bewakingscamera’s. De Privacycommissie heeft reeds meermaals de kans gehad om zich
De Privacycommissie gaf op 15 oktober 2013 advies over het ontwerp
uit te spreken over (een wijziging van) de camerawetgeving. In 2012
van koninklijk besluit tot vaststelling van de voorwaarden en nadere
wenste zij bijvoorbeeld nog de aandacht te vestigen op een aantal
regels van de toegang in real time van de federale en lokale politie-
bestaande knelpunten in de Camerawet (aanbeveling nr. 04/2012 van
diensten tot de beelden van de bewakingscamera’s die geïnstalleerd
29 februari 2012).
zijn op het net van de openbare vervoersmaatschappijen.
Het voorontwerp dat deze keer ter advies voorlag, stelt dat er
De tekst voorziet in een realtime toegang voor politiezones of de
ondanks de reeds doorgevoerde wijzigingen aan de Camerawet
spoorwegpolitie tot de beelden van de bewakingscamera’s die geïn-
nog steeds problemen zijn met de toepassing ervan. Het vooront-
stalleerd zijn in publiek toegankelijke infrastructuren van openbare
werp wenst dan ook verschillende hiaten op te vullen (voornamelijk
vervoersmaatschappijen, met uitzondering van voertuigen. Hiervoor is
wat het gebruik van mobiele bewakingscamera’s betreft) en kan dan
echter een overeenkomst tussen de betrokken partijen noodzakelijk.
aldus beschouwd worden als een verbetering in vergelijking met de bestaande situatie. Dit neemt niet weg dat het voorontwerp volgens
De beelden worden niet opgenomen bij de politiediensten, zelfs niet
de Privacycommissie op een aantal punten bijwerking behoeft.
bij het bekijken ervan. Politiediensten kunnen ze in real time bekijken onder bepaalde voorwaarden, op initiatief van de betrokken poli-
Hoewel het voorontwerp een oplossing aanreikt voor de problema-
tiedienst of op verzoek van de betrokken openbare vervoersmaat-
tiek van de reeds veelvuldig gebruikte ANPR-camera’s (automati-
schappij. Belangrijk ten slotte is dat er een inkijkregister zal bestaan
sche nummerplaatherkenning), zijn er nog steeds problemen omtrent
met vermelding van de datum, het uur en de naam van de perso-
mobiele bewakingscamera’s: het voorontwerp verruimt namelijk het
neelsleden die de beelden in real time hebben bekeken.
toepassingsgebied voor het gebruik ervan door politiediensten naar andere diensten, zoals civiele veiligheidsdiensten en inspectiedien-
De Privacycommissie gaf een gunstig advies aan de inhoud van dit
sten. Kan dit zomaar, en in hoeverre spreken we hier nog van bewa-
ontwerp van koninklijk besluit, met evenwel enkele opmerkingen,
kingscamera’s?
bijvoorbeeld over de duur van de overeenkomst, het al dan niet permanent kunnen bekijken van de beelden en een aantal praktische
Een andere problematische aanpassing in het voorontwerp betreft de
bepalingen over het inkijkregister.
plaatsing van een controlescherm aan de ingang van plaatsen die in real time worden gefilmd, met als resultaat dat het publiek de bewakingsbeelden kan bekijken. Hoewel dit een gangbare praktijk is, is de toegevoegde waarde ervan voor de Privacycommissie niet duidelijk.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
23
Advies nr. 50/2013 van 15 oktober 2013
Naar analogie met het Sectoraal comité van het Rijksregister erkende de Privacycommissie dat de invoering van een ander uniek identifi-
De Privacycommissie gaf eveneens op 15 oktober 2013 advies over
catiesysteem dienstig zou kunnen zijn voor een correcte identificatie
het ontwerp van koninklijk besluit tot aanwijzing van de categorieën
van de begunstigden. Niettemin zou de invoering van een dergelijk
van personen die bevoegd zijn om in real time de beelden te bekijken
verwant systeem naast het gebruik van het identificatienummer van
van de bewakingscamera’s die in niet-besloten plaatsen geïnstalleerd
het Rijksregister omstandig en duur kunnen uitvallen voor werkgevers
zijn, en tot bepaling van de voorwaarden waaraan deze personen
en sociale secretariaten, en moeilijk verzoenbaar zijn met het streven
moeten voldoen.
naar administratieve vereenvoudiging. Daarom was de Privacycommissie van mening dat het gebruik van het identificatienummer van
Het huidige ontwerp van koninklijk besluit is grotendeels identiek
het Rijksregister waartoe de werkgevers en via hen de sociale secre-
aan een eerdere tekst die de regering eerder had ingediend en waar
tariaten toegang hebben, de meeste geschikte oplossing is voor de
de Privacycommissie advies nr. 04/2008 heeft over uitgebracht. De
administratieve identificatie van de begunstigden, en de relevantste
tekst wil in hoofdzaak aan de verantwoordelijke voor de verwerking
oplossing voor de uitgevers van elektronische maaltijdcheques maar
van bewakingscamera’s in een niet-besloten plaats de mogelijkheid
ook voor de begunstigden zelf van de maaltijdcheques.
geven om andere personen dan politieambtenaren aan te duiden die bevoegd zijn om in real time bewakingsbeelden te bekijken. Het gaat
Het voorontwerp bepaalde: “de erkende uitgevers van maaltijdche-
dan omr 1) politieagenten 2) personeelsleden van het administratief
ques moeten bij het Sectoraal comité van het Rijksregister individueel
en logistiek kader van de politiediensten (CALOG) en naar dit kader
verantwoorden dat ze voldoen aan de veiligheidsstandaarden die
overgeplaatste militairen en 3) gemeenschapswachten en gemeen-
door de Privacycommissie voor de bescherming van de persoonlijke
schapswachten-vaststellers.
levenssfeer worden geëist met betrekking tot het gebruik van het voormeld nummer.”
De Privacycommissie gaf een gunstig advies aan de voorgelegde tekst. Zij stelde zich enkel de vraag of het wel noodzakelijk is in het
Het initiatief om de door de Privacycommissie vereiste beveiligings-
ontwerp van koninklijk besluit te vermelden dat politieambtenaren bij
standaarden voor verificatie voor te leggen aan het Sectoraal comité
het vervullen van hun opdrachten van bestuurlijke en gerechtelijke
van het Rijksregister, verheugde de Privacycommissie omdat het hier
politie bevoegd zijn om real time beelden te bekijken van in niet-
gaat over het gebruik van het identificatienummer van het Rijksre-
besloten plaatsen geïnstalleerde bewakingscamera’s, aangezien de
gister. Zij was evenwel van mening dat dit niet noodzakelijk is omdat
Camerawet reeds een gelijkaardige regeling bevat.
er voldoende garanties vastgelegd zijn in het koninklijk erkenningsbesluit aangaande de conformiteit met het beveiligingsbeleid dat
5.3 Administratieve vereenvoudiging
de uitgevers van elektronische maaltijdcheques voeren. De Privacycommissie noteerde dat het in haar schoot opgerichte Sectoraal
5.3.1 Advies nr. 12/2013 van 24 april 2013
comité van de Sociale Zekerheid en van de Gezondheid a priori de voorwaarden inzake beveiliging en bescherming van de persoonlijke
••
Uitgevers van elektronische maaltijdcheques;
levenssfeer controleert. Ook worden in het kader van de kennisge-
••
Gebruik rijksregisternummer of identificatienummer sociale zekerheid.
vings- en intrekkingsprocedure van de erkenning specifieke mechanismen ingevoerd voor de controle en de ontvangst van klachten, en
Artikel 13 van het voorontwerp strekte ertoe een artikel 184/1 in
is er voorzien in de tussenkomst van een advies- en controlecomité.
te voegen in de Programmawet van 30 december 2009 houdende diverse bepalingen om de erkende uitgevers van elektronische maal-
Het ontwerp werd goedgekeurd.
tijdcheques te machtigen het Rijksregisternummer te gebruiken of bij gebrek daaraan het identificatienummer van de registers van de
5.3.2 Advies nr. 08/2013 van 13 maart 2013
Kruispuntbank van de Sociale Zekerheid. ••
eID voor kinderen jonger dan 12.
De verstrekkers van elektronische maaltijdcheques en de sociale secretariaten zijn tot op heden nog niet gemachtigd om het Rijksre-
Op 29 januari 2013 werd het advies van de Privacycommissie
gisternummer te gebruiken.
ingewonnen door de minister van Binnenlandse Zaken over een ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit
Twee machtigingsaanvragen vanwege uitgevers van elektronische
van 10 december 1996 betreffende de verschillende identiteitsdocu-
maaltijdcheques om het identificatienummer van het Rijksregister te
menten voor kinderen onder de twaalf jaar. De voorgestelde wijzi-
gebruiken werden in het verleden onontvankelijk verklaard en bijge-
gingen zijn erop gericht om de aflevering van een elektronisch iden-
volg geweigerd door het Sectoraal comité van het Rijksregister.
titeitsdocument voor Belgische kinderen jonger dan 12 jaar mogelijk te maken. Hierdoor wordt de aflevering van minder betrouwbare papieren identiteitsdocumenten overbodig.
24
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Onderzoek van de tekst bracht geen echte pijnpunten aan het licht.
de contrôle de l’échange des données», de regels vast te stellen voor
De Privacycommissie vond het positief dat voor Belgische kinderen
de voorbereiding van de voorgelegde dossiers.
wordt afgestapt van het kartonnen identiteitsbewijs ten gunste van een elektronisch identiteitsdocument. Het concept is immers analoog aan de eID van volwassenen en biedt dezelfde garanties tegen verval-
5.3.4 Beveiliging van gemachtigde gegevensverwerkingen
sing, net als de mogelijkheid om de elektronische functie te schorsen in geval van verlies of diefstal. De Privacycommissie betreurde wel
••
dat de aflevering van het elektronisch identiteitsdocument momenteel beperkt is tot Belgische kinderen. Zij beval daarom aan na te gaan of
Machtigingsaanvragen bij Privacycommissie en andere controleautoriteiten;
••
niet-Belgische kinderen een gelijkwaardig elektronisch identiteitsdo-
Uniformisering vragenlijst kandidaat-veiligheidsconsulent en conformiteitsverklaring informatiebeveiligingssysteem.
cument zouden kunnen krijgen. Gelet op het toenemende belang van de beveiligingsproblematiek in
5.3.3 Evaluatie van advies nr. 29/2012 van 12 september 2012
het raam van de machtigingsaanvragen bij de verschillende betrokken controleautoriteiten, (de Privacycommissie, de verschillende Sectorale comités, de Vlaamse Toezichtcommissie) hebben deze laatste
•• ••
Samenwerkingsakkoord tussen het Waalse Gewest en de Franse
beslist om hun werkwijze met betrekking tot de evaluatie van de voor-
Gemeenschap;
gestelde veiligheidsconsulenten te uniformiseren. Voortaan zal slechts
Gemeenschappelijk initiatief om gegevens te delen.
één gemeenschappelijk formulier — de “evaluatievragenlijst voor de kandidaat veiligheidsconsulent” — gebruikt worden om de voorge-
Op 12 september 2012 heeft de Privacycommissie advies nr.
stelde veiligheidsconsulenten te evalueren. Een veiligheidsconsulent
29/2012 uitgebracht betreffende een ontwerp van samenwerkings-
die aanvaard werd door een controleautoriteit voor een bepaald orga-
akkoord tussen het Waalse Gewest en de Franse Gemeenschap
nisme zal automatisch ook aanvaard worden door de andere contro-
over het opstarten van een gemeenschappelijk initiatief om gege-
leautoriteiten voor ditzelfde organisme. Een gezamenlijke databank
vens te delen en over het gemeenschappelijk beheer van dit initia-
zal het voor de verschillende controleautoriteiten mogelijk maken de
tief. Dit samenwerkingsakkoord wilde het principe van de authentieke
aanvaarde veiligheidsconsulenten te beheren.
bronnen invoeren, een kruispuntbank voor gegevensuitwisseling en een “Commission vie privée Wallonie-Bruxelles” oprichten, om de
In eenzelfde geest van efficiëntie en vereenvoudiging hebben het
administratieve vereenvoudiging te verbeteren en e-government te
Sectoraal comité van het Rijksregister, het Sectoraal comité voor
perfectioneren.
de Federale Overheid en het Statistisch Toezichtscomité beslist om eenzelfde formulier te gebruiken om de naleving van de Privacywet te
Op 23 mei 2013 werd een samenwerkingsakkoord ondertekend
evalueren met betrekking tot de veiligheid van de informatiesystemen
tussen het Waalse Gewest en de Franse Gemeenschap over het
bedoeld in de verschillende machtigingsaanvragen: de “conformi-
opstarten van een gemeenschappelijk initiatief om gegevens te delen
teitsverklaring inzake het informatiebeveiligingssysteem dat het voor-
en over het gemeenschappelijk beheer van dit initiatief.
werp is van de machtigingsaanvraag of de aanvraag tot aansluiting”.
De Privacycommissie heeft vastgesteld dat grotendeels rekening
Beide documenten zijn beschikbaar op de website van de Priva-
werd gehouden met haar advies. Zo heeft de federale wetgever, na
cycommissie in de verschillende rubrieken die gewijd zijn aan de
de opmerkingen van de Privacycommissie, een sanctie ingevoerd die
verschillende machtigingsaanvragen.
ertoe strekt een gegevensflux te beëindigen als de rechthebbende van de machtiging zijn verplichtingen niet vervult. De naam «Commis-
5.4 Financiën en fiscaliteit
sion vie privée Wallonie-Bruxelles» werd vervangen door «Commission Wallonie-Bruxelles de contrôle de l’échange des données». De
5.4.1 Advies nr. 13/2013 van 24 april 2013
synergieën met de Privacycommissie werden eveneens verstevigd en de opdrachten van de «Commission Wallonie-Bruxelles de contrôle
••
de l’échange des données» werden verduidelijkt.
Samenwerking tussen fiscale administraties van de lidstaten van de Europese Unie;
••
Elektronische uitwisseling van informatie via het CCN-netwerk.
De Privacycommissie heeft de federale wetgever ook laten profiteren van haar ervaring ter zake en heeft federale wetgever geadviseerd
De Privacycommissie verstrekte op 24 april 2013 een gunstig advies
om de opdracht van de «kruispuntbank voor gegevensuitwisseling» te
over het voorontwerp van wet houdende omzetting van Richtlijn
omschrijven, die bestaat uit het opstellen van duidelijke akkoorden op
2011/16/EU met het oog op de invoering van een nieuw administra-
basis van een taakverdeling tussen de betrokken partijen. Uit pragma-
tief samenwerkingsmechanisme dat de informatie-uitwisseling tussen
tisme heeft de Privacycommissie ook geadviseerd om ten minste in
de fiscale administraties van de lidstaten van de Europese Unie zal
het huishoudelijk reglement van de «Commission Wallonie-Bruxelles
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
25
vergemakkelijken zodat er strikter kan worden op toegezien dat de
De Privacycommissie herinnerde eraan dat, hoewel er soms een
burgers hun fiscale verplichtingen naleven.
verband kan bestaan tussen extremisme (vaak niet strafbaar) en ernstige misdrijven zoals terrorisme, beide begrippen niet hetzelfde
Dit nieuwe systeem is gebaseerd op rechtstreekse communicatie
zijn. Wetgeving in deze context moet beide begrippen dus duidelijk
tussen de fiscale administraties van de lidstaten die op eenvoudig
scheiden.
verzoek informatie mogen uitwisselen, automatisch voor welbepaalde categorieën informatie (lonen, pensioen, levensverzekeringspro-
De Privacycommissie vergeleek het wetsontwerp met de bestaande
ducten, inkomsten uit onroerend goed en vergoedingen aan directie),
aanpak van extremisme door de Veiligheid van de Staat en de militaire
en in bepaalde gevallen zal de uitwisseling zelfs spontaan gebeuren.
inlichtingendienst ADIV in de wet van 30 november 1998. Zij stelde
Naast informatieverzoeken zijn ook onderzoeksverzoeken mogelijk.
vast dat het wetsontwerp geen rekening hield met het gevoelige karakter van inlichtingen, zeker als het gaat over radicale opinies en
Onder bepaalde voorwaarden zullen ook persoonsgegevens meege-
meningen. Er is een fundamenteel verschil met informatie over moge-
deeld kunnen worden aan derde landen.
lijke misdrijven zoals handelingen die verband (kunnen) houden met witwassen en terrorisme.
De gegevensuitwisselingen zullen in de mate van het mogelijke gebeuren langs elektronische weg via het CCN-netwerk. Dit is het
Het wetsontwerp bevatte ook een totaal gebrek aan garanties die de
gemeenschappelijk platform, opgericht binnen het gemeenschappe-
burger moeten beschermen tegen het arbitraire gebruik van onder-
lijk communicatienetwerk en door de Europese Unie op punt gesteld,
zoeksmaatregelen. Zo beschouwde het wetsontwerp het verzamelen
dat instaat in voor alle elektronische doorgiftes tussen de bevoegde
van informatie over bankrekeningen en bankverrichtingen niet als
overheden inzake douane en fiscaliteit
exceptionele onderzoeksmethoden, die pas kunnen worden toegepast als andere methodes ontoereikend zijn. Het wetsontwerp bleek
Na onderzoek van het finaliteitsbeginsel in het licht van de toepas-
ook nog op tal van andere punten een evenwichtige, proportionele
singssfeer ratione loci, ratione personae et ratione materiae,
verwerking van persoonsgegevens door de CFI in de weg staan. Het
oordeelde de Privacycommissie dat de nagestreefde doeleinden
bevatte immers geen concrete beoordelingscriteria voor de CFI, noch
welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn zoals
de gebruikelijke strikte procedurele waarborgen.
bedoeld in artikel 4, §1, 2° van de Privacywet. Het wetsontwerp steunde verder niet op een internationale omkadeTeneinde de beginselen inzake proportionaliteit en transparantie te
ring of consensus, en de impact ervan op meldingsplichtige instel-
eerbiedigen vroeg de Privacycommissie de aanvrager nauwkeuriger
lingen werd evenmin toegelicht. Bovendien hield de ontwerptekst
te definiëren hoe het begrip “inlichtingen die naar verwachting van
het risico in op een arbitraire interpretatie van extremisme door elke
belang zijn” zal worden gebruikt en toegepast, en dit voldoende te
meldingsplichtige bank, boekhouder, advocaat, notaris,… aan de
motiveren. Zij vroeg eveneens dat het begrip “mogelijk nuttig gegeven”
CFI, zonder enige duidelijke wettelijke omkadering.
zou worden vervangen door het begrip uit het Belgisch recht met dezelfde draagwijdte, namelijk “toereikend, ter zake dienend en niet
De Privacycommissie verleende derhalve een ongunstig advies over
overmatig gegeven”.
het wetsontwerp.
Betreffende het informatieveiligheidsbeginsel verzocht de Privacy-
5.4.3 Advies nr. 54/2013 van 6 november 2013
commissie de aanvrager om klaarheid te scheppen in de verdeling van de verantwoordelijkheid tussen de Europese Commissie en de FOD Financiën voor de beveiliging van het CCN-netwerk.
••
Vereenvoudiging en informatisering van procedure voor loonoverdracht.
5.4.2 Advies nr. 30/2013 van 17 juli 2013
Het voorontwerp had tot doel om de procedure voor loonoverdracht te vereenvoudigen, onder meer door bepaalde aspecten ervan te
••
W itwaswetgeving;
informatiseren. In het kader van deze geïnformatiseerde procedure
••
Uitbreiding controlebevoegdheid Cel Financiële Informatieverwer
zou het rijksregisternummer van de overdragers (m.a.w. van de werk-
king (CFI).
nemers/schuldenaars) gebruikt worden.
Op vraag van de voorzitter van de Kamer van volksvertegenwoordi-
De Privacycommissie had op zich geen bezwaren tegen het principe
gers diende de Privacycommissie zich uit te spreken over een wets-
van vereenvoudiging en informatisering van voornoemde procedure.
ontwerp dat de witwaswet zou aanpassen. Bedoeling was om met
Zij verzette zich ook niet tegen het gebruik van het rijksregisternummer
deze aanpassing de CFI financiële onderzoeken te laten instellen in
van de overdragers, op voorwaarde dat duidelijk in het voorontwerp
geval van extremisme.
zou worden vastgelegd welke instanties in deze context gemachtigd zouden worden om dit nummer te gebruiken.
26
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Toch zag de Privacycommissie zich genoodzaakt om het vooront-
De bepaling die in het Burgerlijk Wetboek nieuwe formele regels inlast
werp een ongunstige beoordeling te geven. De tekst maakte immers
voor de huur van onroerende goederen – de verplichte vermelding
melding van een nieuwe procedure waarbij informaticatechnieken
van het Rijksregisternummer of het identificatienummer in het bisre-
gebruikt zouden worden, zonder verdere toelichting hierover (noch
gister voor natuurlijke personen – wordt ongunstig geadviseerd door
in het voorontwerp, noch in de memorie, noch in de begeleidende
de Privacycommissie. De wetgever motiveert onvoldoende waarom
brief bij de adviesaanvraag). De Privacycommissie kon bijgevolg niet
de vermelding van het Rijksregisternummer in de contracten zelf
inschatten of de nieuwe geïnformatiseerde procedure voldoende
noodzakelijk is, dit terwijl de uiteindelijke bedoeling erin bestaat het
garanties bood voor de bescherming van de persoonsgegevens die
nummer als metagegeven te bewaren in de databanken van de Admi-
in dit kader verwerkt zouden worden.
nistratie van de Registratie en Domeinen. De wetgever volgde het standpunt van de Privacycommissie op dit punt.
5.4.4 Advies nr. 62/2013 van 3 december 2013 ••
Modernisering van de patrimoniumdocumentatie;
••
Rijksregisternummer, het identificatienummer in het bisregister en het ondernemingsnummer.
5.4.5 Evaluatie van advies nr. 13/2013 van 24 april 2013 ••
Fiscale samenwerking EU-lidstaten;
••
Omzetting Richtlijn 2011/16/EU.
Minister Koen Geens verzocht bij hoogdringendheid om een advies aangaande een aantal voorgestelde bepalingen die de modernisering
Op 24 april 2013 heeft de Privacycommissie een gunstig advies
van de patrimoniumdocumentatie beogen. Het voorontwerp werd
uitgebracht over een voorontwerp van wet houdende omzetting
afgekondigd op 21 december 2013 als de wet houdende diverse
van richtlijn 2011/16/EU strekkende tot de invoering van een nieuw
fiscale bepalingen.
administratief samenwerkingssysteem dat de informatie-uitwisseling tussen de fiscale administraties van de lidstaten van de Europese
Voor de eenduidige identificatie van personen wordt teruggegrepen
Unie zal vergemakkelijken zodat er strikter kan worden toegezien dat
naar bestaande identificatienummers, meer bepaald het Rijksregis-
de burgers hun fiscale verplichtingen naleven.
ternummer, het identificatienummer in het bisregister en het ondernemingsnummer. Daar deze nummers doorheen de tijd kunnen
Dit advies was gunstig op voorwaarde dat rekening werd gehouden
wijzigen, beveelt de Privacycommissie aan een systeem op te zetten
met bepaalde opmerkingen. Zo moest het begrip “inlichtingen die
om dergelijke mutaties te registreren.
naar verwachting van belang zijn” precies worden gedefinieerd en moest worden voorzien in een verplichte motivatie bij aanwending
Het voorontwerp legt vast dat notarissen in de akten die zij verlijden
van dit begrip. De Privacycommissie wou ook het begrip “mogelijk
het identificatienummer vermelden van elke partij. De Privacycom-
nuttig gegeven” vervangen door het begrip met dezelfde draagwijdte
missie meende dat deze nummers niet in de akte zelf, maar als
als in het Belgische recht, nl. “toereikend, ter zake dienend en niet
metagegeven bij de akte geregistreerd zou moeten worden. Dit zou
overmatig gegeven”. Ten slotte adviseerde de Privacycommissie om
toelaten het Rijksregisternummer automatisch af te schermen waar
de gedeelde verantwoordelijkheid tussen de Europese Commissie
nodig, in het bijzonder bij mededeling naar niet-gemachtigden toe.
en de FOD Financiën op te helderen voor wat de beveiliging van
Deze bemerking werd niet gevolgd door de wetgever.
het CCN-netwerk betreft (Common Communication Network – het gemeenschappelijk platform, door de Europese Unie op punt gesteld
Wat de registratie van hypotheken en van in pand gegeven handels-
om in te staan voor alle elektronische doorgiftes tussen de bevoegde
zaken betreft, zal voor elke partij bij de akte het identificatienummer
overheden inzake douane en fiscaliteit).
als metagegeven vermeld worden volgens modaliteiten te bepalen door de Koning. De Privacycommissie wees erop dat de uitvoe-
Op 17 augustus 2013 werd een wet uitgevaardigd houdende omzet-
ringsbesluiten in overeenstemming dienen te zijn met de Wet van
ting van richtlijn 2011/16/EU van de Raad van 15 februari 2011
8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke
betreffende de administratieve samenwerking op het gebied van de
personen.
belastingen en tot intrekking van richtlijn 77/799/EEG.
De Privacycommissie meende dat wettelijke machtigingen om het
De Privacycommissie heeft kunnen vaststellen dat haar advies slechts
Rijksregisternummer te gebruiken – in afwijking van de machti-
gedeeltelijk werd opgevolgd. Het begrip “mogelijk nuttig gegeven”
gingsbevoegdheid van het Sectoraal Comité van het Rijksregister
werd inderdaad vervangen (alleen in art. 3, § 5 maar niet in § 17 – het
– voldoende gemotiveerd dienen te zijn en ondubbelzinnig gefor-
gaat om een legistieke fout) door het begrip “toereikend, ter zake
muleerd moeten zijn. In de voorliggende context is de voorgestelde
dienend en niet overmatig gegeven”.
wettelijke machtiging aanvaardbaar.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
27
Het begrip “inlichtingen die naar verwachting van belang zijn” blijft
weigering van een vraag tot toegang, en dat deze argumenten in het
staan in de gepubliceerde tekst, zonder bijzondere motivatie van de
administratief dossier dienen bewaard te worden tot wanneer ze dus
fiscale overheid.
kunnen worden vrijgegeven ingevolge de opheffing van de opschorting van artikel 10 van de Privacywet.
De Privacycommissie betreurt overigens dat de gedeelde verantwoordelijkheid tussen de Europese Privacycommissie en de FOD Financiën in de wet niet werd opgehelderd voor wat de beveiliging
5.5 Informatie- en communicatietechnologie
van het CCN-netwerk betreft.
5.5.1 Normalisatie 5.4.6 Evaluatie van advies nr. 32/2012 van 17 oktober 2012
Zoals ieder jaar heeft het secretariaat van de Privacycommissie actief meegewerkt aan de lopende normalisatiewerkzaamheden die plaats-
••
Verwerking persoonsgegevens door FOD Financiën;
vinden in de schoot van het Bureau voor Normalisatie (NBN), en aan
••
Opschorting van het recht op toegang bij fiscale controle.
de werkzaamheden van de Working Groups 1, 3 en 5 van het technisch Comité SC27 (Information Technology/Security Techniques)
Het jaarverslag 2012 kondigde een aanpassing aan in overeenstem-
betreffende de herziening van de ISO-normen die een invloed zouden
ming met advies nr. 32/2012 aan van de wet van 3 augustus 2012
kunnen hebben op de eerbiediging van het privéleven, onder meer
houdende bepalingen betreffende de verwerking van persoonsge-
door te waken over de coherentie van deze normen met de Privacywet.
gevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten, die in werking was getreden op 1 januari 2013. Deze aanpassing werd doorgevoerd door de wet van 17 juni 2013
5.5.2 Overlegplatform voor informatieveiligheid (BELNIS)
houdende fiscale en financiële bepalingen en bepalingen betreffende de duurzame ontwikkeling.
Een commissaris en enkele leden van het secretariaat van de Privacycommissie hebben deelgenomen aan de werkzaamheden van het
Het amendement dat aan de Privacycommissie ter advies werd
overlegplatform voor informatieveiligheid (BELNIS).
voorgelegd (advies nr. 32/2012 van 17 oktober 2012) impliceerde reeds een significante verbetering in vergelijking met de wet van
Dit platform werd eind 2005 opgericht door de ministerraad teneinde
3 augustus 2012. In de uiteindelijke wettekst werden bovendien nog
de gemeenschappelijke problemen inzake informatiebeveiliging aan te
een aantal opmerkingen uit het advies van de Privacycommissie geïn-
pakken waarmee de leden van het platform geconfronteerd worden.
tegreerd. De instellingen die aan dit platform deelnemen zijn: Zo had de Privacycommissie erop aangedrongen om in de wet te bepalen wat de motivering moet zijn om het recht van toegang op te
••
schorten, en hoe en binnen welke termijn die motivering ter kennis
de Algemene Dienst Inlichtingen en Veiligheid (ADIV) van het Ministerie van Landsverdediging;
van de betrokkene moet worden gebracht. Ze had hieraan ook toege-
••
het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT);
voegd dat zou moeten worden verduidelijkt of de motivering al dan
••
de Privacycommissie;
niet kan worden aangevochten, hoe, wanneer en met welke gevolgen.
••
het crisiscentrum van de FOD Binnenlandse Zaken;
Verder kon de Privacycommissie begrijpen dat kennisgeving aan
••
de Federal Computer Crime Unit (FCCU);
de betrokkene van de motivering om het recht van toegang op te
••
de Algemene Directie Controle en Bemiddeling van de FOD
schorten, uitgesteld kon worden, maar zij onderlijnde dat deze motivering toch vastgelegd moest worden in het administratief dossier.
Economie; ••
de FOD Fedict;
••
de Kruispuntbank van de Sociale Zekerheid;
In de wet wordt effectief verduidelijkt dat in de gevallen waarin – inge-
••
Nationale Veiligheidsoverheid (NVO) – Buitenlandse Zaken;
volge “voorbereidende werkzaamheden” en/of een controle/onder-
••
de Veiligheid van de Staat.
zoek – artikel 10 van de Privacywet is opgeschort, de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer van de FOD Financiën de betrokkene op de hoogte dient te brengen
5.5.3 Evaluatie van advies nr. 24/2012 van 25 juli 2012
wanneer deze opschorting wordt opgeheven. Op dat moment moet ook aan de betrokkene worden medegedeeld waarom artikel 10 van
••
Statuut van veiligheidsadviseurs.
de Privacywet werd opgeschort (artikel 96 van de wet). De wet geeft echter geen verduidelijking over een eventuele aanvechting van de
Op 25 juli 2012 bracht de Privacycommissie een gunstig advies uit
motivering. In de Memorie van Toelichting wordt wel aangegeven dat
over een ontwerp van koninklijk besluit betreffende het statuut van de
de motivering al moet worden opgemaakt op het moment van de
veiligheidsadviseurs. Dit besluit werd aangenomen op 17 maart 2013.
28
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
De Privacycommissie werd gevolgd:
voldoende veiligheid op het openbaar vervoer enerzijds en het recht op mobiliteit en privacy anderzijds.
••
••
•• ••
••
in haar aanbeveling om in het ontwerp op te nemen dat de aanstelling van een veiligheidsadviseur onder toezicht van het Sectoraal
Het decreet toegangsverbod bevatte reeds een aantal basiswaar-
Comité van de Sociale Zekerheid automatisch zou gevalideerd
borgen om naar dit evenwicht te streven. Het besluit draagt hiertoe
worden als veiligheidsadviseur krachtens het voorgelegde ontwerp-
nog meer met bijkomende voorwaarden, spelregels en maatre-
besluit;
gelen die bij deze gegevensverwerkingen moeten worden nageleefd
in haar aanbeveling om het beveiligingsplan vermeld in artikel 7 van
volgens de Privacywet, wat een positieve impact heeft op privacybe-
het ontwerp mee te delen aan het bevoegde sectoraal comité, nl.
scherming. Zo voorziet het besluit in de aanduiding van de verant-
het Sectoraal comité voor de Federale Overheid;
woordelijke voor de verwerking, de beoogde doeleinden, de gege-
in haar wens om in een termijn te voorzien voor de mededeling van
vens die worden opgeslagen, de bewaringstermijn van de gegevens
de identiteit van de veiligheidsadviseurs;
en de beschermings- en beveiligingsmaatregelen (zoals logging van
in haar aanbeveling om de voorgelegde tekst aan te passen en te
het gebruik van de gegevens, het optreden van de veiligheidsconsu-
vermelden dat de twee aanstellingscriteria zowel vooraf onderzocht
lent, de bepaling van de categorieën personen die toegang hebben
zouden worden door het bevoegde sectoraal comité als tijdens de
tot het bestand, inclusief hun geheimhoudingsplicht). De Privacycom-
uitoefening van de functies van de veiligheidsadviseur.
missie benadrukte het belang van het engagement van De Lijn om het
in haar wens dat son souhait que l’exigence de l’article 6 (connais-
toegangsverbod enkel toe te passen wanneer blijkt dat alle andere
sance de l’environnement informatique) soit ajoutée aux critères de
maatregelen uit de andere schakels van de veiligheidsketen onvol-
désignation du conseiller en sécurité
doende gebleken zijn.
De Privacycommissie werd niet gevolgd:
De Privacycommissie leverde dan ook een gunstig advies.
••
5.6.2 Evaluatie van advies nr. 30/2012 van 12 september 2012
in haar aanbeveling om in het voorgelegde ontwerp te vermelden dat het Sectoraal comité voor de Federale Overheid het bevoegde sectoraal comité is waaraan de identiteit van de veiligheidsadviseur moet worden meegedeeld, onafhankelijk van een machtigingsaan-
••
Intelligente vervoerssystemen
vraag bij dit sectoraal comité.
5.6 Vervoer en mobiliteit
Op 19 september 2013 verscheen de Wet van 17 augustus 2013 tot creatie van het kader voor het invoeren van intelligente vervoerssystemen en tot wijziging van de wet van 10 april 1990 tot regeling
5.6.1 Advies nr. 52/2013 van 6 november 2013
van de private en bijzondere veiligheidin het Staatsblad. De Privacycommissie verleende in deze materie een zeer uitgebreid advies
••
Toegangsverbod tot voertuigen De Lijn;
van 37 pagina’s met een tekstvoorstel. Noch het tekstvoorstel, noch
••
Ultieme maatregel bij overlast.
de inhoudelijke bedenkingen van het advies werden gevolgd, op een detailopmerking na.
De Privacycommissie werd gevraagd advies uit te brengen over een voorontwerp van besluit van de Vlaamse Regering (hierna “het besluit”) over een toegangsverbod tot de voertuigen van de Vlaamse
5.6.3 Evaluatie van advies nr. 34/2011 van 21 december 2011
Vervoermaatschappij (VVM) De Lijn. ••
Het besluit was bedoeld ter uitvoering van het Vlaams decreet van
houdende oprichting van de Kruispuntbank van de Voertuigen
8 mei 2009 betreffende toegangsverbod tot voertuigen van De Lijn (hierna “het decreet toegangsverbod”).
Koninklijk Besluit ter uitvoering van de wet van 19 mei 2010 (“WKBV”);
••
Machtiging van gegevensstromen naar de private sector door het Sectoraal comité voor de Federale Overheid.
De Lijn en de Vlaamse overheid zijn vandaag niet in staat overlastinbreuken door passagiers aan te pakken met een ultieme sanctie, met
Op 22 augustus 2013 verscheen in het Staatsblad een Koninklijk
name de overtreder een toegangsverbod opleggen.
Besluit tot uitvoering van de WKBV.
Aangezien een dergelijk toegangsverbod een inperking van de
Puur technisch gesproken werden enkele kleinere punten uit het
mobiliteit van de betrokkene betekent enerzijds, en anderzijds een
advies van de Privacycommissie gevolgd, maar er zijn nog steeds
ingrijpende verwerking van zijn persoonsgegevens impliceert (nl. een
een aantal problemen met de machtiging van gegevensstromen door
verwerking van gerechtelijke persoonsgegevens in de zin van artikel
het Sectoraal comité voor de Federale Overheid. Zo valt op dat struc-
8 van de Privacywet), is een goed evenwicht noodzakelijk tussen
turele gegevensstromen naar de private sector toe worden vrijgesteld
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
29
van de machtigingsvereiste door het sectoraal comité. Concreet gaat
5.7.2 Advies nr. 14/2013 van 14 april 2013
het om de vrijstelling voor de vzw-groepering van erkende ondernemingen voor autokeuring en rijbewijs:, Febiac, Assuralia, Informex NV,
••
Onthaaltraject voor nieuwkomers;
Federauto, Febelauto, en Renta. FEBIAC weet al sinds jaar en dag
••
Sociaal profiel met noden van nieuwkomers: vaardigheden en
dat haar leden de verkregen gegevens gebruiken met het oog op
professionele ervaring.
direct marketing, zonder dat passende maatregelen het aanslepende probleem van gebruik van gegevens met het oog op direct marketing
Op 5 maart 2013 vroeg mevrouw Eliane Tillieux, minister van Gezond-
door FEBIAC-leden hebben aangepakt. Dit gaat in tegen het advies
heid, de Privacycommissie een advies uit te brengen over het vooront-
en de logica dat voorafgaand privacyonderzoek normaal de regel is
werp van decreet ter vervanging van Boek II van het Waals Wetboek
voor gegevensverwerkingen zoals direct marketing
sociale actie en gezondheid met betrekking tot de integratie van vreemdelingen of van personen van buitenlandse herkomst (hierna
5.7 Varia
“het voorontwerp”). Dit voorontwerp kadert in de wens van de Waalse regering om een onthaaltraject voor nieuwkomers in te voeren. Dit
5.7.1 Advies nr. 04/2013 van 30 januari 2013 en nr. 56/2013 van 6 november 2013
traject beoogt de emancipatie van nieuwkomers en steunt op vier pijlers: een gepersonaliseerd onthaal, een opleiding in de Franse taal, een burgerschapsopleiding en een socio-professionele oriëntatie.
••
Gemeentelijke Administratieve Sancties;
Het onthaaltraject is gepersonaliseerd en resulteert onder andere in
••
Register van dergelijke sancties.
een sociaal profiel om de noden van de nieuwkomer te identificeren op basis van zijn vaardigheden en professionele ervaring. Op grond
De Privacycommissie werd om advies gevraagd omtrent een voor-
daarvan kan een overeenkomst worden afgesloten tussen de gerech-
ontwerp van wet betreffende de gemeentelijke administratieve sanc-
tigde en het Gewest, dat vertegenwoordigd wordt door het geweste-
ties met het oog op de bestrijding van de overlast. Zij kwam tot de
lijk integratiecentrum. Het centrum moet instaan voor een geïndividu-
conclusie (advies nr. 04/2013 van 30 januari 2013) dat dit vooront-
aliseerde opvolging van deze overeenkomst en voor de centralisatie
werp bepaalde merites heeft in vergelijking met het regelgevend kader
van alle gegevens over de begunstigden.
dat destijds van kracht was (bv: een duidelijke omkadering van het “gemeentelijk register van gemeentelijke administratieve sancties”),
De Privacycommissie vestigde de aandacht van de aanvrager op het
waardoor zij een gunstig advies verleende. Dit neemt niet weg dat
feit dat het voorontwerp de personen die onderworpen werden aan
de Privacycommissie omtrent dit register nog met een aantal vragen
de verplichtingen van het voorontwerp, met name de nieuwkomers,
zat. Zo stelde zich bijvoorbeeld de problematiek van de “herhaling”
te ruim omschreef. De Privacycommissie meent immers dat niet de
en met name de vraag of in een dergelijke context gegevens omtrent
regering maar de wetgever via een decreet de lijst met uitzonderingen
een inbreuk die in gemeente A gepleegd werd, kunnen uitgewisseld
dient te bepalen.
worden met gemeente B. Een andere belangrijke gegevensverwerking in het voorontwerp, met name de verwerking in gevallen waarin
Betreffende de centralisering van de gegevens van nieuwkomers
er een “tijdelijk plaatsverbod” wordt opgelegd, werd eveneens onvol-
bepaalt het voorontwerp niet de gegevens die noodzakelijk zijn om
doende geregeld in het voorontwerp.
van een onthaaltraject of een sociaal profiel van een nieuwkomer op te stellen. De Privacycommissie meent dat het gaat om een lacune
Intussen heeft het Parlement over de GAS-wet gestemd , en
die des te belangrijker is omdat de centra over de mogelijkheid
verscheen de tekst in het Belgisch Staatsblad van 1 juli 2013. De
beschikken om eenzijdig de overeenkomst met de nieuwkomer te
wettekst beidt echter geen antwoord op de twee knelpunten die
ontbinden als die zonder wettige reden niet deelneemt aan een oplei-
hoger zijn uiteengezet.
ding of ermee stopt. De Privacycommissie dringt er dan ook op aan dat het decreet de regering ertoe zou verplichten de hiertoe verwerkte
In oktober 2013 werd aan de Privacycommissie ook een ontwerp
gegevens nauwkeurig te bepalen.
van uitvoeringsbesluit voorgelegd, dat specifiek handelde over het register van de gemeentelijke administratieve sancties. In dit ontwerp
Uit het voorontwerp kan worden afgeleid dat de centra de gegevens
werd het concept “herhaling” weliswaar gedefinieerd, maar werd
rechtstreeks bij de gerechtigden zullen inzamelen. Indien de gegevens
nog steeds geen uitsluitsel geboden omtrent de vraag of gemeenten
echter worden verkregen bij een authentieke gegevensbron zoals
onderling informatie mogen uitwisselen. Deze opmerking werd dan
het Rijksregister, het Wachtregister en/of het Register van de Kruis-
ook herhaald in het advies nr. 56/2013 van 6 november 2013, dat
puntbank van de Sociale Zekerheid is een voorafgaande machtiging
voor het overige – behoudens enkele punctuele opmerkingen – in een
noodzakelijk van het Sectoraal comité van het Rijksregister of van het
gunstige beoordeling voorzag.
Sectoraal comité van de Sociale zekerheid en van de Gezondheid, afdeling sociale zekerheid. Hetzelfde geldt indien de centra het identificatienummer van het Rijksregister of het identificatienummer van
30
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
de sociale zekerheid zullen gebruiken om de gerechtigden eenduidig
handhavingsbevoegdheden toe te kennen aan de Vlaamse Toezicht-
te identificeren.
commissie (VTC), die passende sancties zou moeten kunnen opleggen aan overtreders om de bescherming van persoonsgege-
Betreffende het transparantiebeginsel dringt de Privacycommissie
vens af te dwingen.
erop aan dat aan de nieuwkomer van wie gegevens zullen worden verwerkt in het raam van zijn onthaaltraject hierover duidelijke en
De Privacycommissie onderschreef de motivering van de toekenning
gedetailleerde informatie wordt verstrekt.
van bestuurlijke toezicht- en handhavingsbevoegdheden aan de VTC en onderstreepte de doeltreffendheid van de maatregelen die de VTC
De Privacycommissie herinnert eraan dat het decreet of het door de
eventueel kan opleggen in het kader van bestuurlijke handhaving van
regering goed te keuren besluit een passende bewaringstermijn voor
de Privacywet en het e-governmentdecreet van 18 juli 2008.
de gegevens moet bepalen in het licht van het beoogde doeleinde, met name de integratie van nieuwkomers.
De Privacycommissie bracht een gunstig advies uit over het voorstel van decreet, maar met een aantal opmerkingen:
De Privacycommissie wenste eveneens te herinneren aan het bestaan van een Kruispuntbank voor gegevensuitwisseling die binnenkort
••
wordt opgericht in Wallonië (zie advies nr. 29/2012 van de Priuva-
administratieve sancties slechts als sluitstuk van bestuurlijke handhaving hanteren;
cycommissie van 12 september 2012) en die de gegevensuitwis-
••
het recht op verdediging honoreren;
selingen tussen de verschillende openbare actoren moet vereen-
••
evenredige sanctionering nastreven;
voudigen en optimaliseren. De centra zouden deze kruispuntbank
••
voorzien in een beroepsmogelijkheid.
moeten gebruiken om de gegevensstromen te coördineren.
5.7.5 Advies nr. 32/2013 van 17 juli 2013 Aangezien de steller van het voorontwerp meedeelde dat hij er geen bezwaar tegen had verduidelijkingen in de tekst aan te brengen volgens
••
Strijd tegen schijnhuwelijken;
de opmerkingen van de Privacycommissie, verstrekte zij een gunstig
••
Opname van nieuwe informatiegegevens in de bevolkingsregisters
advies over dit voorontwerp van decreet van de Waalse regering.
5.7.3 Advies nr. 22/2013 van 26 juni 2013
en het vreemdelingenregister.
Op 17 juli 2013 heeft de Privacycommissie zich uitgesproken over een ontwerp van koninklijk besluit tot invoeging van nieuwe informa-
••
Federaal Agentschap voor Nucleaire Controler (FANC);
tiegegevens in de bevolkingsregisters en in het vreemdelingenregister
••
Bevoegdheden van nucleaire inspecteurs.
met betrekking tot de verschillende administratieve stappen voorafgaand aan een huwelijk of het afsluiten van een wettelijk samenle-
Op 26 juni 2013 heeft de Privacycommissie een gunstig advies uitge-
vingscontract en dit in het raam van de strijd tegen schijnhuwelijken
bracht over voormelde adviesaanvraag van de minister van Binnen-
en schijn-wettelijke samenwoningen. De bedoeling is het hoofd te
landse Zaken. De herziening van de wet van 15 april 1994 blijkt
bieden aan de actuele territoriale beperking van gegevensuitwisseling
volgens de aanvrager noodzakelijk om diverse redenen: 1) de inspec-
tussen de betrokken actoren op het terrein, aangezien deze beper-
teurs van het FANC betere handhavingsmiddelen aanreiken 2) inspec-
king een eventuele andere poging tot schijnhuwelijk mogelijk maakt
tiebevoegdheid verlenen aan contractuele personeelsleden 3) op
voor een andere ambtenaar van de burgerlijke stand. Er wordt dan
termijn een einde stellen aan de hoedanigheid van officier van gerech-
gespeculeerd dat die niet op de hoogte is van eerdere soortgelijke
telijke politie, hulpofficier van de procureur des Konings in hoofde
pogingen door dezelfde personen.
van de personeelsleden van het FANC. Het is volgens de aanvrager ook aanbevolen al de bevoegdheden van de nucleaire inspecteurs te
In deze context heeft de Privacycommissie zich gunstig uitgesproken
centraliseren in één reglementaire tekst. Het KB van 20 juli 2001, dat
over de centralisatie van de verschillende administratieve stappen
reeds een aantal van deze bevoegdheden bevat, zou voor wat deze
voorafgaand aan een huwelijk of het afsluiten van een wettelijk
aspecten betreft, dan ook worden opgeheven.
samenlevingscontract, om zo te strijden tegen schijnhuwelijken en schijn-wettelijke samenwoningen. Het Sectoraal comité van het Rijks-
5.7.4 Advies nr. 31/2013 van 17 juli 2013
register zal op basis van artikel 16, 12° van de Wet op het Rijksregister moeten nagaan of de gevraagde toegang tot deze gegevens
••
Uitbreiding bevoegdheid Vlaamse Toezichtcommissie voor het elek-
conform de Privacywet is.
tronisch bestuurlijk gegevensverkeer; ••
Administratieve sanctionering.
Om de voor advies voorgelegde tekst te verbeteren, heeft de Privacycommissie echter wel verschillende aanpassingen vereist.
Dit voorstel van decreet, voor advies voorgelegd door de voorzitter van het Vlaams Parlement, strekte ertoe bestuurlijke toezicht- en
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
31
Een eerste aanpassing vereist dat in de bevolkingsregisters de
om te voldoen aan de beveiligingsverplichting in artikel 16 van de
redenen worden opgenomen waarom een ambtenaar van de burger-
Privacywet.
lijke stand vermoedt dat er ernstige aanwijzingen zijn van een schijnhuwelijk of schijn-wettelijke samenwoning, zodat iedere ambtenaar
De Privacycommissie bracht een gunstig advies uit over de twee
van de burgerlijke stand verder zijn soevereine beoordelingsbevoegd-
ontwerpen, maar met een aantal opmerkingen. De voornaamste
heid met kennis van zaken kan uitoefenen.
daarvan waren
De Privacycommissie vroeg eveneens dat de centralisatie van de
••
het Sectoraal Comité van de Sociale Zekerheid en van de Gezond-
soorten weigeringen om een huwelijksakte op te stellen, tot een strikt
heid, afdeling Sociale Zekerheid is bevoegd om de vereisten voor de
minimum beperkt zouden worden, met name enkel wanneer er twij-
registratie vast te stellen en om sociale inspecteurs te machtigen de
fels zijn over de authenticiteit of de geldigheid van documenten die in het raam van een huwelijk moeten voorgelegd worden.
registratiegegevens te raadplegen en verwerken; ••
het gebruikte registratiemiddel zou logischerwijs ontwikkeld worden door de Kruispuntbank van de Sociale Zekerheid en niet door de
In eenzelfde redenering dient centralisatie in de bevolkingsregisters
Federale Overheidsdienst Informatie- en Communicatietechnologie
enkel gebaseerd te zijn op het uitstel van of de weigering tot voltrek-
(Fedict), aangezien deze registratie gebeurt in de sociale sector.
king van het huwelijk, door een vermoedelijk gebrek aan instemming van een of beide betrokken personen of door hun intentie uitsluitend
5.7.7 Advies nr. 60/2013 van 27 november 2013
een verblijfsrechtelijk voordeel te bekomen. ••
Ten slotte heeft de Privacycommissie aanbevolen dat de vermelding
Aflevering van paspoorten door de FOD Buitenlandse Zaken en bijhorende gegevensverwerkingen.
“geschrapt” wordt toegevoegd aan iedere persoon die geschrapt wordt uit de registers op het einde van de bewaringstermijn van 5
Ingevolge Verordening (EG) nr. 2252/2004 moeten paspoorten en
jaar, indien geen later element na de aanvraag van huwelijk of wette-
reisdocumenten die door de lidstaten worden afgeleverd o.a. worden
lijke samenwoning een verdere actieve vermelding in de registers
beveiligd met twee vingerafdrukken. In België staat de FOD Buiten-
rechtvaardigt. Hierbij heeft de Privacycommissie onderstreept dat
landse Zaken in voor de aflevering van deze documenten.
het identificatienummer van het Rijksregister dat aan deze personen werd toegekend zal moeten worden bewaard aangezien het in het
De FOD Buitenlandse Zaken houdt reeds gegevens bij, zowel
raam van de bestrijding van identiteitsfraude immers belangrijk is dat
over personen aan wie een paspoort werd afgeleverd als over het
een identificatienummer nooit aan twee verschillende personen wordt
paspoort. Over dit gegevensbestand bestaat er geen transparantie.
toegekend.
Nergens blijkt duidelijk wat wordt bewaard en waarom, hoe lang iets wordt bewaard, wie toegang heeft tot dit gegevensbestand en wie de
5.7.6 Advies nr. 43/2013 van 2 oktober 2013
verantwoordelijke is voor de verwerking.
••
Aanwezigheidsregistratie op bouwwerven;
Omdat bij de productie van de nieuwe paspoorten o.m. vingeraf-
••
Fraudebestrijding.
drukken zullen worden verwerkt, besliste de FOD Buitenlandse Zaken om klaarheid te scheppen over de diverse doeleinden en de bijho-
De welzijnswet van 1996 heeft de Koning belast met de gedetail-
rende gegevensverwerkingen waartoe een paspoortaanvraag aanlei-
leerde vaststelling en uitvoering van de voorwaarden en de nadere
ding geeft. Op 1 oktober 2013 won de FOD het advies in van de
regels waaraan de elektronische registratie van aanwezigheden op
Privacycommissie over een voorontwerp van wet in deze context.
tijdelijke of mobiele bouwplaatsen moet beantwoorden. Dit systeem maakt het mogelijk een duidelijk beeld te krijgen van wie er op een
Dit voorontwerp identificeert de FOD Buitenlandse Zaken als verant-
bepaald moment aanwezig is op een bouwplaats, en dit voor legi-
woordelijke voor de verwerking en vermeldt volgende doeleinden:
tieme doeleinden zoals de bevordering van de veiligheid en gezondheid van de werknemers en de bestrijding van sociale fraude. Deze
••
materiële productie van een paspoort;
gegevens worden opgenomen in een gegevensbank in onderaanne-
••
schadevergoeding voor defecten aan een paspoort;
ming beheerd door de Rijksdienst voor Sociale Zekerheid. Naast deze
••
voor Belgen in het buitenland op basis van toestemming: pre-regis-
gegevensbank bestaat het registratiesysteem uit een registratieap-
tratie of bewaring van het paspoort (langere bewaartermijn voor de
paraat en een registratiemiddel.
vingerafdrukken);
De twee ontwerpen van koninklijk besluit die werden voorgelegd voor
••
bestrijding van paspoortfraude;
••
facturering en statistische doeleinden.
advies door de staatssecretaris voor de Bestrijding van de Fiscale en Sociale Fraude behelsden dan ook voornamelijk de functionele en
Voor elk van deze doeleinden vermeldt het voorontwerp welke gege-
technische vereisten, en de beveiligingsvereisten van de registratie
vens daartoe worden verzameld, bepaalt het een specifieke bewaar-
32
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
termijn – zo zal de FOD Buitenlandse Zaken de vingerafdrukken alleen
5.7.9 Aanbeveling gegevenslekken
bewaren voor de materiële productie van het paspoort, namelijk niet langer dan drie maanden, in tegenstelling tot andere gegevens - en
••
Beveiliging van persoonsgegevens;
identificeert het de personen/diensten die toegang tot de gegevens
••
Herinnering juridisch kader.
zullen hebben. Naar aanleiding van een aantal concrete gebeurtenissen die uitgeDe Privacycommissie verleende een gunstig advies aangezien de
breid aan bod kwamen in de media (gegevenslekken NMBS, Defensie
tekst de toetsing aan de basisprincipes van de Privacywet doorstond.
en Jobat), meende de Privacycommissie dat onmiddellijk actie diende te worden ondernomen om een halt toe te roepen aan onbedoelde
5.7.8 NMBS-gegevenslek
en ongeoorloofde gegevenslekken, zogenaamde data breaches, die zoals zij vaststelde doorgaans te wijten zijn aan onvoldoende gege-
Naar aanleiding van een menselijke fout werd een kopie van een
vensbeveiliging.
bestand met een uittreksel van het klantenbestand van de NMBS Europe op een FTP-server geplaatst, die vervolgens online kon
De technologische evolutie, koppelingen tussen informatiesystemen,
worden geraadpleegd via indexering door zoekmotoren. Nadat zij
de dematerialisatie van deze systemen en hun dragers en de verme-
kennis had genomen van dit gegevenslek wenste de Privacycom-
nigvuldiging van digitale informatie vergroten almaar het risico op
missie een onderhoud met NMBS Europe om de oorsprong van het lek
verspreiding van gegevens aan personen die hiertoe geen toegang
te achterhalen. Uit deze vergadering en de daarop volgende ontmoe-
mogen hebben.
tingen is gebleken dat NMBS Europe op zaterdag 22 december 2012 over deze fout in kennis werd gesteld door een niet nader geïdenti-
Deze ongeoorloofde beschikbaarheid van persoonsgegevens op het
ficeerde klant, die meedeelde dat een bestand met zijn klantenge-
internet vormt een ernstig probleem, aangezien deze gegevens een
gevens kon geraadpleegd worden op het internet. Tijdens de uren
commerciële waarde kunnen hebben en hun verspreiding oncontro-
die volgden op deze oproep stelde de NMBS alles in het werk om
leerbaar wordt indien geen passende veiligheidsmaatregelen worden
dit bestand te verwijderen. Het bevatte meer dan 1,4 miljoen regels
genomen door elke verantwoordelijke voor een verwerking.
met persoonsgegevens van klanten of potentiële klanten die contact hadden gehad met hetzij de website van NMBS Europe, hetzij het
De Privacycommissie stelde vast dat een onvoldoende uitgebouwde
internationale callcenter. De gegevens in het bestand waren naam,
informaticastructuur daarbij veelal aan de basis ligt van het probleem.
voornaam, taalrol, geslacht, e-mailadres en soms postadres, geboor-
In combinatie met een gebrek aan voldoende ingebouwde controle-
tedatum en/of telefoonnummer/gsm-nummer. Het bestand bevatte
middelen (het “vierogenprincipe”) en de afwezigheid van een systeem
geen enkel financieel gegeven noch gegevens over de reizen die door
dat tijdig fouten detecteert en rechtzet, vormt dit de ideale voedings-
de betrokkenen werden gemaakt. Naar aanleiding van de mediatise-
bodem voor gegevenslekken. Vanuit een permanente bekommernis
ring van dit gegevenslek bracht de NMBS verschillende communiqués
om dergelijke situaties te voorkomen, formuleerde de Privacycom-
uit (in de geschreven pers, de audiovisuele pers of nog, via Facebook
missie een reeks aanbevelingen die concreet betrekking hebben op
en Twitter). Zij plaatste eveneens een speciale rubriek online om het
informatiebeveiliging. De aanbeveling besteedt verder aandacht aan
publiek te informeren over het gegevenslek. Zo konden de klanten
het juridisch kader waarbij de bepalingen worden aangehaald waarop
ook navragen of hun gegevens deel uitmaakten van dit bestand. Zij
inbreuk wordt gepleegd in geval zich een gegevenslek voordoet.
antwoordde eveneens met een modelbrief als antwoord op vragen om inlichtingen. Ten slotte liet NMBS Europe op eigen initiatief een audit uitvoeren door een externe firma. Uit deze audit is gebleken dat
5.7.10 Evaluatie van advies nr. 05/2010 van 3 februari 2010
NMBS Europe niet het slachtoffer was van hacking. Naar aanleiding van het contact dat zij had met NMBS Europe bracht de Privacy-
••
Mededeling van informatie in het wachtregister.
commissie verschillende aanbevelingen uit die grotendeels werden gevolgd. Zo heeft NMBS Europe onder meer een verantwoordelijke
De Privacycommissie had een advies uitgebracht over het Konink-
voor informatiebeveiliging aangeduid, de gekende internetgebruikers
lijk Besluit betreffende de mededeling van informaties in het wacht-
en de zoekmotoren gevraagd om het bewuste bestand en/of de
register op 30 december 2013. Het Koninklijk Besluit werd op
gegevens die hierop betrekking hadden te verwijderen en de beveili-
30 december 2013 gepubliceerd in het Belgisch Staatsblad.
ging van de gegevens te verhogen. De Privacycommissie verstrekte ook een antwoord aan alle burgers die haar aanschreven ingevolge
De opmerkingen van de Privacycommissie werden in het algemeen
dit gegevenslek. Eens haar onderzoek was afgerond en gelet op het
goed gevolgd.
belang van het voorval en de ingezamelde informatie, heeft de Privacycommissie het dossier uit handen gegeven en doorgestuurd naar
Zo is er een wettelijk kader dat voorziet dat de personen die in het
het Parket van Brussel opdat het gerecht zich zou uitspreken over het
wachtregister ingeschreven zijn de mogelijkheid krijgen om te vragen
gevolg dat hieraan gegeven dient te worden.
dat hun adres niet wordt meegedeeld.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
33
Het artikel 17 van het ontwerp van Koninklijk Besluit werd aangepast volgens het voorstel van de Privacycommissie. Zoals gevraagd zal iedere aanvrager de toegang tot het wachtregister moeten motiveren en moeten aantonen waarom dit noodzakelijk is in het licht van de procedure die hij instelt (art. 4, §2, tweede lid van het KB). Op aangeven van de Privacycommissie werd de ongelukkige formulering “voor interne doeleinden” die gebruikt werd om de doeleinden te beschrijven waarvoor toegang kan worden verleend aan de gemeentelijke diensten en de diensten afhankelijk van het OCMW terecht vervangen door “voor de uitvoering van de taken die tot hun bevoegdheid behoren”. Tot slot, sluit de organisatie voor de mededeling van lijsten met personen uit het wachtregister beter aan bij het recht op privacy. Het artikel 12 §2 van het KB verplicht de aanvrager zijn aanvraag te motiveren en aan te tonen waarom de door hem gevraagde lijst noodzakelijk is voor de uitvoering van zijn opdracht. Artikel 11 bepaalt dat enkel overheden of de openbare instellingen die door of krachtens de wet gemachtigd zijn, dergelijke lijsten kunnen verkrijgen en dit voor de informatie waarop deze machtiging betrekking heeft.
34
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
6 Lijst van beslissingen van de Privacycommissie in 2013 Alle beslissingen van de Privacycommissie zijn raadpleegbaar op haar website in de rubriek “Beslissingen”.
6.1 Adviezen 01/2013
Advies betreffende de bindende ondernemingsregels (Binding corporate rules of “BCR”) van de onderneming Novo Nordisk
02/2013 Ontwerp van Koninklijk besluit tot uitvoering van de wet betreffende de politie over het wegverkeer, gecoördineerd op 16 maart 1968, wat betreft de speekselanalyse en de bloedproef bij het sturen onder invloed van bepaalde psychotrope stoffen en de erkenning van de laboratoria 03/2013 Adviesaanvraag betreffende het voorontwerp van besluit van de Waalse regering tot wijziging van onder meer het besluit van de Waalse Gewestexecutieve van 9 april 1992 betreffende de gevaarlijke afvalstoffen en het Besluit van de Waalse regering van 13 november 2003 betreffende de registratie van ophalers en vervoerders van andere dan gevaarlijke afvalstoffen 04/2013
Voorontwerp van wet betreffende de gemeentelijke administratieve sancties met het oog op de bestrijding van de overlast
05/2013 Adviesaanvraag van de Federale Overheidsdienst Economie (Beheersdienst Kruispuntbank van Ondernemingen) houdende sommige bepalingen van het voorontwerp van wet houdende het Wetboek van economische recht met het oog op een aanpassing van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen (hierna KBO) alsmede drie ontwerpen van koninklijke uitvoeringsbesluiten 06/2013 Ontwerp van koninklijk besluit houdende uitvoering van de wet tot uitvoering van artikelen 12 en 30ter van de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de maatschappelijke zekerheid der arbeiders en tot wijziging van het koninklijk besluit van 27 december 2007 tot uitvoering van de artikelen 400, 401, 403, 404 en 406 van het Wetboek van de inkomstenbelastingen 1992 en van artikel 30bis van de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de maatschappelijke zekerheid der arbeiders 07/2013 Advies aangaande het voorontwerp van Koninklijk besluit tot uitvoering van artikel 21 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst 08/2013 Ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 10 december 1996 betreffende de verschillende identiteitsdocumenten voor kinderen onder de twaalf jaar 09/2013 Adviesaanvraag betreffende het ontwerp van koninklijk besluit tot regeling van sommige verzekeringsovereenkomsten tot waarborg van de terugbetaling van het kapitaal van een hypothecair krediet 10/2013 Adviesaanvraag betreffende het ontwerp van koninklijk besluit tot wijziging van de artikelen 164 en 165 van het koninklijk besluit tot uitvoering van het Wetboek van de inkomstenbelastingen 1992 11/2013 Advies betreffende het ontwerp van koninklijk besluit tot uitvoering van artikel 77decies van de wet van 22 juli 1953 houdende oprichting van een instituut van de bedrijfsrevisoren en organisatie van het publiek toezicht op het beroep van bedrijfsrevisor, gecoödineerd op 30 april 2007 en de ontwerpen van “Statement of Protocol” en en akkoord over de uitwisseling van gegevens met de “Public Company Accounting Oversight Board” (hierna “PCAOB”) 12/2013 Adviesaanvraag over het voorontwerp van wet houdende diverse bepalingen inzake administratieve vereenvoudiging “artikel 13” elektronische maaltijdcheques 13/2013 Adviesaanvraag over het voorontwerp van wet houdende omzetting van richtlijn 2011/16/EU van de Raad van 15 februari 2011 betreffende de administratieve samenwerking op het gebied van de belastingen en tot intrekking van richtlijn 77/99/EEG
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
35
14/2013 Voorontwerp van decreet ter vervanging van Boek II van het Waals Wetboek van sociale actie en gezondheid betreffende de Integratie van vreemdelingen of van personen van buitenlandse herkomst 15/2013 Adviesaanvraag betreffende het voorontwerp van wet houdende diverse bepalingen inzake administratieve vereenvoudiging – artikelen 21 en 22: online toetredingen tot akkoorden 16/2013
Advies betreffende de bindende ondernemingsregels (Binding corporate rules of “BCR”) van de onderneming American Express
17/2013 Adviesaanvraag betreffende het voorontwerp van besluit van de Vlaamse Regering tot uitvoering van het decreet van 8 mei 2009 betreffende het algemeen welzijnswerk 18/2013 Advies naar aanleiding van een klacht tegen de installatie van een kwaliteitsgarantieplatform om telefoongesprekken tussen werknemers en potentiële klanten van de werkgever op te nemen 19/2013 Ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 22 maart 1999 houdende uitvoering van artikel 156, §2, vierde lid, van de wet van 29 april 1996 houdende sociale bepalingen, met betrekking tot de wijze waarop de verzekeringsinstellingen aan de technische cel de noodzakelijke informatie meedelen voor de samenvoeging van de anonieme minimale klinische en financiële gegevens Ontwerp van koninklijk besluit houdende uitvoering van artikel 156, §2, vierde lid, van de wet van 29 april 1996 houdende sociale bepalingen, met betrekking tot de wijze waarop de algemene nietpsychiatrische ziekenhuizen aan de technische cel de noodzakelijke informatie meedelen voor de samenvoeging van de minimale klinische gegevens en anonieme financiële gegevens Ontwerp van koninklijk besluit houdende uitvoering van artikel 156, §2, vierde lid, van de wet-van 29 april 1996 houdende sociale bepalingen, met betrekking tot de wijze waarop de verzekeringsinstellingen aan de technische cel de noodzakelijke informatie meedelen voor de samenvoeging van de minimale klinische gegevens en anonieme financiële gegevens 20/2013 Voorontwerp van wet houdende diverse bepalingen aangaande de werking van het netwerk van de sociale zekerheid – Bepalingen inzake de sociale identiteitskaart en de ISI+-kaart 21/2013 Adviesaanvraag betreffende het voorontwerp van decreet houdende de organisatie van de preventieve gezinsondersteuning in Huizen van het Kind 22/2013 Adviesaanvraag betreffende het voorontwerp van wet tot wijziging van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle 23/2013 Advies m.b.t. het ontwerp van koninklijk besluit tot vaststelling van de criteria op basis waarvan gegevens als authentieke gegevens kwalificeren in uitvoering van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator 24/2013
Voorontwerp van ordonnantie betreffende de gewestelijke statistiek
25/2013 Ontwerp van Koninklijk besluit betreffende de bemiddelaar in het kader van de bestrijding van de loonkloof tussen mannen en vrouwen 26/2013
Ontwerp van koninklijk besluit tot uitvoering van de wet houdende bepalingen inzake de sociale identiteitskaart en de ISI+-kaart
27/2013 Adviesaanvraag betreffende twee wetsvoorstellen tot aanpassing van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse, enerzijds teneinde de internationale uitwisseling van DNA-gegevens te vergemakkelijken en anderzijds met het oog op de oprichting van een DNA gegevensbank « Vermiste personen » 28/2013 Adviesaanvraag van de Federale Overheidsdienst Economie (Beheersdienst Kruispuntbank van Ondernemingen) houdende het ontwerp van koninklijk besluit tot uitvoering van artikel III.31 van het Wetboek van economisch recht en over het ontwerp van konink-
36
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
lijk besluit tot wijziging van het koninklijk besluit van 19 juni 2003 houdende de nadere regelen voor de toegang tot de Kruispuntbank van Ondernemingen 29/2013
Advies betreffende de bindende ondernemingsregels (Binding corporate rules of “BCR”) van de onderneming Intel
30/2013 Adviesaanvraag betreffende het wetsontwerp tot aanvulling van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme, met het oog op de uitbreiding van de controlebevoegdheid van de Cel Financiële Informatieverwerking wat betreft het extremisme 31/2013 Adviesaanvraag betreffende het voorstel van decreet houdende wijziging van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, wat de vaststelling van de toezicht- en handhavingsbevoegdheden van de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer betreft 32/2013 Adviesaanvraag over het ontwerp van Koninklijk besluit tot wijziging van het koninklijk besluit van 16 juli 1992 tot vaststelling van de informatie die opgenomen wordt in de bevolkingsregisters en in het vreemdelingenregister en tot voorschrift van de inschrijving in het wachtregister van de vreemdelingen die niet beschikken over een identificatienummer van het Rijksregister en die in het huwelijk willen treden 33/2013 Ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 15 december 1987 houdende uitvoering van de artikels 13 tot en met 17 van de wet op de ziekenhuizen zoals gecoördineerd door het koninklijk besluit van 7 augustus 1987 34/2013
Adviesaanvraag over het voorontwerp van wet houdende diverse bepalingen met betrekking tot medische hulpmiddelen
35/2013 Adviesaanvraag betreffende twee ontwerpen van koninklijk besluit inzake de nadere vaststelling van informatieprocedures voor de uitwisseling tussen lidstaten van menselijke organen bestemd voor transplantatie 36/2013 Voorontwerp van besluit van de regering van het Brussels Hoofdstedelijk Gewest houdende uitvoering van de ordonnantie van 28 oktober 2010 betreffende de ruimtelijke informatie in het Brussels Hoofdstedelijk Gewest 37/2013 Ontwerp van besluit van de regering van de Franse Gemeenschap tot wijziging van het koninklijk besluit van 21 maart 1961 tot bepaling van de voorwaarden inzake de sociaal-medische tuberculosebestrijding, tot toekenning van subsidies ten bate van de bestrijding en tot vaststelling van de regelen waarnaar zij dienen toegekend 38/2013 Adviesaanvraag betreffende een ontwerp van koninklijk besluit houdende bepaling van de regels volgens welke bepaalde urgentiegegevens moeten worden medegedeeld aan de Minister bevoegd voor Volksgezondheid 39/2013 Adviesaanvraag betreffende drie wetsvoorstellen tot aanpassing van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse, ten eerste teneinde DNA-afname bij bepaalde groepen van veroordeelden te verplichten, ten tweede teneinde een DNA gegevensbank « Intervenanten » in strafzaken op te richten, ten derde teneinde een DNA gegevensbank « Inverdenkinggestelden en verdachten » in te voeren 40/2013 Adviesaanvraag met betrekking tot een ontwerp van koninklijk besluit betreffende de uitwisseling van informatie tussen de DIV en andere staten krachtens de richtlijn 2011/82/EU ter facilitering van de grensoverschrijdende uitwisseling van informatie over verkeersveiligheidsgerelateerde verkeersovertredingen 41/2013 Adviesaanvraag over het ontwerp van Koninklijk besluit tot regeling van sommige verzekeringsovereenkomsten tot waarborg van de terugbetaling van het kapitaal van een hypothecair krediet 42/2013
Voorontwerp van wet tot wijziging van de wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera’s
43/2013 Adviesaanvraag betreffende twee ontwerpen van koninklijk besluit genomen in uitvoering van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk - aanwezigheidsregistratie op bouwplaatsen
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
37
44/2013 Adviesaanvraag betreffende het voorontwerp van Decreet tot wijziging van sommige bepalingen van de “Code wallon de l’Action sociale et de la Santé” (Waals Wetboek van Sociale Actie en Gezondheid), betreffende de sociale akkoorden van de non-profitsector 45/2013
Adviesaanvraag betreffende het ontwerp van een Code wallon de l’agriculture (Waals Landbouwwetboek)
46/2013 Adviesaanvraag over het voorontwerp van decreet tot oprichting van gegevensbanken van authentieke bronnen die betrekking hebben op de tewerkstelling in de non-profitsector in Wallonië, het zogenaamde “Cadastre de l’emploi non-marchand en Wallonie” of afgekort “CENM” 47/2013
Voorontwerp van wet betreffende het politioneel informatiebeheer
48/2013 Adviesaanvraag betreffende een voorontwerp van decreet tot oprichting van een centrum voor de gezonde ontwikkeling van kinderen en jongeren 49/2013 Advies inzake het ontwerp van Koninklijk besluit tot vaststelling van de voorwaarden en nadere regels van de toegang in real time van de federale en lokale politiediensten tot de beelden van de bewakingscamera’s die geïnstalleerd zijn op het net van de openbare vervoersmaatschappijen 50/2013 Advies inzake het ontwerp van Koninklijk besluit tot aanwijzing van de categorieën van personen die bevoegd zijn om in real time de beelden te bekijken van de bewakingscamera’s die in niet-besloten plaatsen geïnstalleerd zijn, en tot bepaling van de voorwaarden waaraan deze personen moeten voldoen 51/2013
Adviesaanvraag inzake het voorontwerp van decreet betreffende de landinrichting
52/2013 Adviesaanvraag betreffende een voorontwerp van besluit van de Vlaamse Regering betreffende het toegangsverbod tot de voertuigen van Vlaamse Vervoermaatschappij De Lijn 53/2013 Adviesaanvraag betreffende een ontwerp van koninklijk besluit houdende bepaling van de regels volgens welke de ziekenhuizen gegevens met betrekking tot de “Treatment Demand Indicator” moeten meedelen aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft 54/2013
Voorontwerp van wet betreffende de vereenvoudiging van de procedure betreffende de overdracht van het loon
55/2013 Adviesaanvraag betreffende sommige bepalingen van het voorontwerp van wet tot wijziging van sommige bepalingen met het oog op de elektronische procedure 56/2013 Advies inzake het ontwerp van Koninklijk besluit tot vaststelling van de bijzondere voorwaarden betreffende het register van de gemeentelijke administratieve sancties ingevoerd bij artikel 44 van de wet van 24 juni 2013 betreffende de gemeentelijke administratieve sancties 57/2013 Adviesaanvraag inzake het voorontwerp van decreet houdende de uitwisseling van informatie over een inname van het openbaar domein in het Vlaamse Gewest 58/2013 Adviesaanvraag betreffende het ontwerp van Koninklijk Besluit betreffende de verhoogde verzekeringstegemoetkoming, bedoeld in artikel 37 § 19 van de wet betreffende de verplichte verzekering voor geneeskundige verzorging en uitkeringen, gecoördineerd op 14 juli 1994 59/2013 Advies betreffende het ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 27 april 2007 tot regeling van de wijze waarop de wilsverklaring inzake euthanasie wordt geregistreerd en via de diensten van het Rijksregister aan de betrokken artsen wordt meegedeeld 60/2013 Adviesaanvraag m.b.t. het voorontwerp van wet met betrekking tot de geautomatiseerde verwerking van persoonsgegevens die noodzakelijk zijn voor Belgische paspoorten en reisdocumenten
38
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
61/2013
Ontwerp van koninklijk besluit betreffende biobanken
62/2013 Voorontwerp van wet houdende diverse fiscale bepalingen, titel 4 modernisering van de patrimoniumdocumentatie 63/2013 Voorontwerp van decreet betreffende de organisatie van het netwerk voor de gegevensdeling tussen de actoren in de zorg 64/2013 Ontwerp van kaderovereenkomst afgesloten tussen het Comité van de verzekering voor geneeskundige verzorging van het RIZIV en het Wetenschappelijk Instituut Volksgezondheid, met toepassing van artikel 22, 20° van de wet betreffende de verplichte verzekering voor geneeskundige verzorging en uitkeringen, gecoördineerd op 14 juli 1994 65/2013 Voorontwerp van decreet betreffende de opvang van kinderen tot twaalf jaar 66/2013 Adviesaanvraag met betrekking tot het ontwerp van Koninklijk besluit houdende uitvoering van artikel 17quater van de wet van 4 juli 1962 betreffende de openbare statistiek
6.2 Aanbevelingen 01/2013
Aanbeveling uit eigen beweging betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken
02/2013
Direct marketing en bescherming van persoonsgegevens
03/2013
Aanbeveling uit eigen beweging over het gebruik van traceertoestellen door politiediensten ten aan zien van hun personeelsleden
6.3 Aanbevelingen Latere Verwerking 01/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van het onderzoek “trajectoires des jeunes de 15 à 25 ans en formation en alternance auprès du SFPME/EMPME et des CEFA en région Bruxellois” verricht door de ULB-METICES 02/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke en statistische doeleinden in het kader van het onderzoek “Medische beslissingen rond het levenseinde van patiënten in Vlaanderen” verricht door de “Flanders Study to Improve End-of-life Care and Evaluation tools” - VUB Jette 03/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door het departement sociologie van de universiteit Antwerpen, Onderzoeksgroep milieu & leefomgeving betreffende een project (hinder)belevingsonderzoek haven van Antwerpen 04/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van het gezondheidsonderzoek “Toi et Ta Santé” door de UCL – Institut de Recherche Santé et Société 05/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door de Universiteit Gent (Onderzoeksgroep Criminologie en Rechtssociologie) betreffende een project ‘Nieuwe’ immigranten in de jeugdbescherming 06/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door Eandis betreffende een project “Step-up: een uniek ‘smart city’ project” 07/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door de heer Vincent Eechaudt betreffende het project “Prison Disciplinary Procedures & European Integration – A Comparative & European Study”
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
39
08/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van het onderzoek van de Interuniversitaire attractiepolen (IUAP) met als thema ‘Le Travail forcé et la Justice au Congo belge” uitgevoerd door CEGESOMA – Mevrouw Pascaline le Polain 09/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een doctoraatsproefschrift FNRS met als thema “L’approche historique de l’épuration administrative au sein de l’INR au lendemain de la Seconde Guerre mondiale” van mevrouw Céline Rase 10/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door het Instituut voor Landbouw- en Visserijonderzoek betreffende het project “WELLTRANS-ILVO” 11/2013 Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door het departement Mobiliteit en Openbare Werken betreffende het “HB-onderzoek Tienen & Sint-Truiden”
40
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
7 Belangrijkste internationale activiteiten van de Privacycommissie 7.1 Internationale conferenties
persoonlijke levenssfeer en persoonsgegevens te bekijken vanuit drie invalshoeken: (1) de aan de gang zijnde hervormingen in de wereld:
7.1.1 Europese Conferentie van de commissarissen voor gegevensbescherming
interoperabiliteit tussen de regio’s; (2) privacy and technology en (3) de actoren: perspectieven, rol en belangen. De aanwezige gegevensbeschermingsautoriteiten hebben tevens 7 resoluties goedgekeurd
De Europese Conferentie van commissarissen voor gegevensbe-
over volgende thema’s:
scherming – die naast de nationale gegevensbeschermingsautoriteiten van de lidstaten van de Europese Unie en de Raad van Europa,
Resolution on the app-ification of society
de instellingen van deze twee regionale Europese organisaties (EDPS, Commissie, Europol,…), alsook het OESO verenigt – ging door in
Vertrekkend van de vaststelling dat– steeds talrijkere – mobiele toepas-
Portugal op 16 en 17 mei 2013. Het belangrijkste thema van de confe-
singen alomtegenwoordig zijn, op onze tablets, onze smartphones,
rentie, getiteld “Protecting Privacy : the challenges ahead” betrof de
in onze auto’s enz. , wil de resolutie de industrie sensibiliseren om
hervorming van de Europese reglementering voor gegevensbescher-
rekening te houden met de bescherming van de persoonsgegevens
ming zowel op het niveau van de Europese Unie (Data Protection
van gebruikers (onder meer door dit als een concurrentieel argument
Reform: voorstellen van Verordening en Richtlijn) als op het niveau
te gebruiken) en in het bijzonder met de beginselen privacy by design
van de Raad van Europa (Verdrag 108) en in de schoot van de OESO
en privacy by default. Zij vragen ook aan systeemoperatoren om hun
(Organisatie voor Economische Samenwerking en Ontwikkeling).
deel van de verantwoordelijkheid op te nemen. Ten slotte verbinden zij zich ertoe, in hun hoedanigheid van gegevensbeschermingsautoriteit,
Op het einde van de conferentie hebben de commissarissen verschil-
de wetgeving op dit gebied te doen naleven in een globale inspan-
lende resoluties goedgekeurd, waaronder een over de toekomst van
ning om de gebruiker (opnieuw) controle te verschaffen over zijn eigen
de gegevensbescherming in Europa (Resolution on the future of Data
gegevens (informatiebeheer).
Protection in Europe). Met dergelijke hervormingsprojecten op tafel is het tijd voor evaluaties maar tevens is dit een unieke gelegenheid om
Resolution on profiling
een reglementair kader voor te stellen dat kan beantwoorden aan de evoluties in de ontwikkeling en het gebruik van nieuwe technologieën.
Ook hier vormt informatiebeheer een van de belangrijkste bekommer-
De keuzes die vandaag gemaakt worden, zullen belangrijke gevolgen
nissen van de gegevensbeschermingsautoriteiten, die pleitten voor
hebben voor het fundamentele recht op gegevensbescherming “van
een effectief recht op toegang en op verbetering evenals voor een
morgen”, alsook voor andere rechten die in het gedrang komen door
menselijke tussenkomst vanaf het ogenblik dat op basis van profielen
het ontbreken van een adequate bescherming van de persoonlijke
beslissingen worden genomen die een wezenlijke invloed hebben
levenssfeer en de persoonsgegevens: het recht op non-discriminatie,
voor de betrokkenen.
het recht op vrij verkeer, het recht op anonimiteit, het recht op vrije meningsuiting en het recht op menselijke waardigheid.
Resolution on International Enforcement Coordination
Andere resoluties verdienen een vermelding. De eerste beoogt het
De gegevensbeschermingsautoriteiten moeten samenwerken, meer
waarborgen van de gegevensbescherming in een trans-Atlantische
in het bijzonder in de context van “grensoverschrijdende” geschillen.
vrije handelszone (Resolution on “To ensure Data Protection in a Tran-
De internationale conferentie belast een werkgroep om samen met
satlantic Free Trade Area) ; de tweede handelt over het waarborgen
andere netwerken een gezamenlijke aanpak te ontwikkelen op dit
van een passende bescherming van gegevens bij Europol (Resolution
gebied (cross-border case handling and enforcement) en een ontwerp
on Europol).
van kaderovereenkomst voor te stellen op de 36ste conferentie die in 2014 zal doorgaan op het eiland Mauritius. De conferentie steunt
7.1.2 Internationale conferentie van de commissarissen voor gegevensbescherming
eveneens de ontwikkeling van een beveiligd platform voor informatie-
Tijdens de 35ste Internationale conferentie “Privacy : a compass
Resolution on anchoring data protection and the protection of privacy in international law
in turbulent world” die op uitnodiging van de Poolse gegevensbe-
uitwisseling en het voeren van gemeenschappelijke acties.
schermingsautoriteit doorging in Warschau van 23 tot 26 september 2013, hebben de deelnemers – waaronder de Privacycommissie – de
In het verlengde van vroegere resoluties pleit de conferentie voor de
gelegenheid gehad om de uitdagingen van de bescherming van de
goedkeuring van een bindend juridisch instrument voor het omka-
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
41
deren van de bescherming van de persoonsgegevens op wereld-
het gebruik van technieken die de impact op persoonsgegevens
schaal. De conferentie verzoekt de regeringen te ijveren voor een
beperken, zoals pseudonimisering en anonimisering.
bijkomend protocol bij artikel 17 van het internationaal pact van de Verenigde Naties betreffende de burgerrechten en politieke rechten.
7.1.3 Conferentie van de AFAPDP
Resolution on openness of Personal Data Practices
Algemene vergadering van de Association Francophone des Autorités de Protection des Données
Deze resolutie is meer dan een eenvoudig pleidooi voor een effectieve toepassing van het transparantiebeginsel (gericht aan de autoriteiten
Op 21 en 22 november 2013 werd in Marrakech de 7e jaarlijkse confe-
in het bijzonder, met inbegrip op het gebied van (openbare) veiligheid),
rentie en de 7e algemene vergadering van de AFAPDP gehouden,
de politie en de staatsveiligheid), en verzoekt de controleautoriteiten
voorgezeten door Mevr. Chartier, voorzitter van de Commission
maar ook de regeringen en andere organisaties te evalueren hoe de
d’accès à l’information van Quebec, en in aanwezigheid van Mr.
labels “privacy” , certificeringsmechanismen en andere trust marks
Mohamed El Ouafa, vertegenwoordiger van de Marokkaanse over-
zouden kunnen bijdragen tot het verhogen van deze transparantie.
heid.
Resolution on Digital education for all
Deze studiedagen werden georganiseerd in samenwerking met de Organisation internationale de la Francophonie (OIF) en de Commis-
Samen met andere partners meer in het bijzonder bevoegd inzake
sion Nationale de contrôle de la protection des données à caractère
onderwijs, engageert de conferentie zich onder meer om via een
personnel (CNDP) van Marokko. Vertegenwoordigers uit 25 Fransta-
werkgroep waaraan de Privacycommissie zal deelnemen, een
lige landen hebben de vergaderingen bijgewoond.
gemeenschappelijk programma voor digitaal onderwijs te ontwikkelen, gebaseerd op 5 principes (een specifieke bescherming voor
Op de conferentie hebben de leden en de vertegenwoordigers van
minderjarigen, een aan te moedigen continue opleiding, een even-
de autoriteiten hun ervaringen gedeeld met betrekking tot, enerzijds,
wichtige aanpak gebaseerd op zowel de risico’s als de opportuni-
het beheer van hun externe communicatie (persrelaties, al dan niet
teiten van de nieuwe technologieën, de persoonlijke ontwikkeling van
gebruiken van sociale media, enz.) en anderzijds, de uitoefening van
goede gewoonten en de bevordering van het respect voor de andere,
hun controlebevoegdheden (onderzoeksbevoegdheden, de impact
de ontwikkeling van een kritische geest) en bestemd om te beant-
van de publicatie van onderzoeksverslagen en inspectierapporten,
woorden aan 4 doelstellingen:
het aantal ingediende klachten, enz.)
••
gegevensbescherming integreren als een onderdeel van het digitale
Tevens benadrukten ze het belang van het bewustmaken van gebrui-
onderwijsprogramma;
kers over de uitdagingen die inherent zijn aan mobiele apparaten en
een rol vervullen bij de opleiding die verzekerd wordt door de verbin-
diensten op het vlak van toestemming, transparantie en veiligheid, en
dingspersonen en –organisaties (“de opleiders opleiden”) over de
de noodzaak om richtsnoeren te ontwikkelen voor de belangrijkste
aspecten van “de bescherming van de persoonlijke levenssfeer en
actoren, namelijk de ontwikkelaars van mobiele toepassingen, dienst-
de persoonsgegevens”;
verleners of advertentienetwerken.
••
••
de beroepen i.v.m. digitale technologie promoten;
••
aanbevelingen en gedragsregels formuleren betreffende het gebruik
Tijdens deze jaarlijkse conferentie werd ook een overzicht gegeven
van nieuwe technologieën voor de verschillende betrokken doel-
van de acties die de verschillende netwerken voor de bescherming
groepen (kinderen, ouders, leerkrachten, bedrijven).
van persoonsgegevens hebben ondernomen, zoals het Ibero-Amerikaans netwerk, het netwerk van de Asia-Pacific Economic Coope-
Resolution on web tracking and privacy
ration (APEC), de Economische Gemeenschap van West-Afrikaanse Staten (ECOWAS) en het netwerk van landen van Oost-Europa.
Onder “webtracking” (technologie voor tracering op het web), verstaat
Verder werd het volgende toegelicht: de activiteiten omtrent de
men het volgen van alle aspecten van gedragingen op het web.
modernisering van Verdrag nr. 108 tot bescherming van personen
De verzamelde gegevens (IP-adressen, identificatiemiddelen enz.)
in verband met de verwerking van persoonsgegevens aangenomen
kunnen leiden tot het samenstellen van zeer omvangrijke databanken
door de Raad van Europa in 1981 of het ontwerp van verordening
die, in voorkomend geval, gekruist worden met andere, afkomstig van
met betrekking tot Richtlijn 95/46/EG van het Europees Parlement
andere toestellen, en tot het opstellen van profielen. Zonder het nut
en de Raad betreffende de bescherming van natuurlijke personen in
van webtracking voor veiligheidsdoeleinden of het voorkomen van
verband met de verwerking van persoonsgegevens en betreffende
fraude in twijfel te trekken, pleit de resolutie vooral voor de eerbie-
het vrije verkeer van die gegevens.
diging van de beginselen inzake finaliteit en privacy by design, voor kwalitatieve informatieverstrekking aan de internetgebruiker en voor
Bovendien hebben de leden en de vertegenwoordigers van de gegevensbeschermingsautoriteiten hun standpunten en hun (re)acties in
42
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
het licht van de internationale actualiteit kunnen uitwisselen. In haar
••
toespraak heeft Isabelle Falque-Pierrotin, voorzitter van de Commission nationale de l’informatique et des libertés (CNIL) in Frankrijk en
Privacycommissie en de sectorale comités. ••
secretaris-generaal van de AFAPDP, benadrukt dat persoonsgegevens, zoals blijkt uit de zaak-Snowden en de affaire-Prism, ons dage-
de mechanismes van beheer, omkadering en de controle van gegevens door de openbare diensten, waaronder de politie.
••
lijkse leven beginnen te beheersen, alsook de economie, en vooral dat deze gegevens een wapen zijn geworden in de strijd om macht
de organisatie, de activiteiten en de interventiemechanismes van de
de controlemechanismes en de beveiliging van gegevens via concrete gevallen.
••
de problematiek van de doorgifte van gegevens en omkaderings-
en dominantie van staten en bedrijven, die elk proberen hun visie
procedures voor de doorgifte van persoonsgegevens in de Fransta-
op te leggen. Zij heeft ook nog eens benadrukt dat de Francofonie
lige wereld door middel van, onder meer, bindende ondernemings-
als een derde stem moet gelden in het debat over het toezicht op
regels en een samenwerkingsprotocol.
grote schaal en een rol moet spelen in de ontwikkeling van een digitale maatschappij met respect voor de rechten van individuen, waar
Deze studiedag heeft de Tunesische delegatie een beter inzicht
iedereen kan genieten van de voordelen die de digitale wereld biedt,
gegeven in de dagelijkse werkzaamheden van een gegevensbescher-
zonder angst te moeten hebben voor wat de toekomst brengt of wat
mingsautoriteit in de Europese Unie en het belang van een wettelijk
perverse kant van het systeem kan aanrichten.
kader inzake gegevensbescherming voor een dergelijke autoriteit. Deze overweging was zeer nuttig voor het ANC, als onderdeel van
In dat opzicht hebben de autoriteiten van de AFAPDP in de Algemene Vergadering een resolutie goedgekeurd die aandringt op een grotere transparantie bij overheidshandelingen. Deze resolutie bevat de aanbeveling, in het bijzonder gericht tot de regeringen, om de
hun grondwetherziening.
7.2 Werkgroep gegevensbescherming “Artikel 29” – Groep 29
Verenigde Naties aan te zetten tot het goedkeuren van een juridisch bindend instrument ter bescherming van persoonsgegevens en in te
••
Werkgroep van de Europese Unie;
stemmen met Verdrag nr. 108 van de Raad van Europa en aanvullend
••
Europese overheden voor gegevensbescherming (Europese Priva-
protocol.
cycommissies); ••
Er werden ook twee andere resoluties goedgekeurd tijdens de Algemene Vergadering: één om digitaal onderwijs voor allen te bevor-
Geharmoniseerde toepassing van de EU reglementering inzake gegevensbescherming;
••
deren, en een andere resolutie met betrekking tot het toezicht op de
Werkzaamheden in subwerkgroepen waaraan de Privacycommissie deelneemt.
doorgifte van persoonsgegevens in de Franstalige wereld, met behulp van, onder meer, bindende ondernemingsregels en een samenwer-
De Groep artikel 29 telt… eindelijk ….29 leden!
kingsprotocol. Dit laatste is een uitloper uit de activiteiten van de werkgroep van de Privacycommissie, de CNDP en de CNIL (Commis-
Aangezien het toetredingsverdrag van Kroatië tot de Europese Unie in
sion nationale de l’informatique et des libertés) van de laatste twee
werking is getreden op 1 juli 2013, telt de Groep artikel 29 sinds die
jaar.
datum effectief 29 leden, zijnde de 28 gegevensbeschermingsautoriteiten van de lidstaten van de Unie en de Europese Toezichthouder
Bezoek van een delegatie van de Instance Nationale de la Protec-
voor gegevensbescherming (EDPS)
tion des Données Personnelles (INPDP) en de Assemblée Nationale Constituante (ANC) van Tunesië aan de Privacycommissie
7.2.1 Raadgevende en raadplegende activiteit
Op 25 juli 2013 heeft de Privacycommissie de leden van de Assem-
De werkgroep bracht in 2013 een aantal adviezen uit die werden
blée Nationale Constituante verwelkomd, die zetelen in de INPDP, en
voorbereid door zijn verschillende subwerkgroepen waaraan de
de leden van de Commissie Rechten en Vrijheden en Buitenlandse
medewerkers van secretariaat van het voorzitterschap van de Priva-
Betrekkingen van de Assemblée Nationale Constituante van Tunesië
cycommissie actief meewerken. Deze adviezen, goedgekeurd ter
verwelkomd.
uitvoering van de verschillende bevoegdheden van de Groep 29, kunnen in volgende thema’s worden onderverdeeld:
Dit bezoek maakt deel uit van één van de programma’s van de Association francophone des autorités de protection des données person-
••
nelles (AFAPDP).
de reglementaire hervorming inzake bescherming van persoonsgegevens die door de Europese Commissie werd ingezet (2012) (1);
••
“nieuwe” technologieën: impactanalyse voor slimme meters ( internet
Om aan de verwachtingen van deze delegatie te voldoen, hebben
van de dingen), cookies, applicaties voor intelligente toepassingen
de vertegenwoordigers van het secretariaat van de Privacycommissie
en drones (2);
het volgende toegelicht:
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
43
••
de gevolgen van sommige Europese reglementeringen zoals de
Het gebruik van privacyeffectbeoordelingen in de rechtshandhaving:
richtlijn over het hergebruik van gegevens van de openbare sector
de Groep 29 pleit ervoor dat de verplichtingen inzake privacyeffect-
(ISP) (3);
beoordelingen eveneens toepasselijk zouden zijn op het gebied van
••
BCR verwerkers (bindende ondernemingsregels “verwerkers”) (4);
rechtshandhaving. De uitvoering van dit soort beoordeling is des
••
de sleutelbegrippen van de Richtlijn 95/46/EG: finaliteitsbeginsel (5);
te belangrijker bij verwerkingen van persoonsgegevens die worden
••
de dialoog met andere internationale instanties: Europese positione-
uitgevoerd voor doeleinden van rechtshandhaving, onder meer gelet
ring (6).
op de verhoogde risico’s die dergelijke verwerkingen vormen voor de betrokkenen.
1. Voortzetting van de werkzaamheden betreffende de voorstellen van Verordening en Richtlijn (Data Protection Reform Package) die door de Europese Commissie werden neergelegd in januari 2012
De bevoegdheden van gegevensbeschermingsautoriteiten: de werkgroep betreurt dat de bepalingen van de ontwerprichtlijn betreffende de gegevensbeschermingsautoriteiten veel minder specifiek zijn dan die van de ontwerpverordening. Een betere afstemming van de
Als vertegenwoordiger van de controleautoriteiten privacycommis-
reglementering zou bijdragen tot coherentie en samenwerking. Het is
sies, is de Groep 29 natuurlijk nauw betrokken bij de ontwerpen
overigens essentieel dat de toezichthoudende autoriteiten toegang
voor hervorming van de Europese reglementering inzake gegevens-
zouden hebben tot alle gebouwen van rechtshandhavingsinstanties.
bescherming. In het verlengde van zijn adviezen van 2012 nam de
Eenzelfde toegang tot informatie wordt eveneens aanbevolen. De
werkgroep deel aan het debat via verschillende brieven betreffende
Groep 29 beveelt in dit verband dan ook aan om in de richtlijn aan
het concept van leidende autoriteit (“lead authority”), het begrip uitoe-
te geven welke informatie voor de gegevensbeschermingsautoriteiten
fening van uitsluitend persoonlijke of huishoudelijke activiteiten en het
toegankelijk zou moeten zijn als die noodzakelijk is voor de uitoefe-
begrip “profilering”, alsook via gemotiveerde adviezen die hierna kort
ning van hun toezichthoudende taken. Het is niet de bedoeling van
worden toegelicht.
het voorstel om de huidige toegangsdrempels tot gerubriceerde informatie voor de gegevensbeschermingsautoriteiten te verlagen.
Advies 01/2013 met aanvullende input voor de besprekingen over het ontwerp voor een richtlijn inzake de bescherming van persoonsgegevens in het kader van de politiële en justitiële samenwerking in
Werkdocument 01/2013: bijdrage aan het debat over uitvoeringshandelingen (WP 200)
strafzaken (WP 201) De werkgroep keurde op 5 oktober 2012 advies 08/2012 goed met In dit nieuwe advies dat commentaar levert bij het voorstel van richtlijn
aanvullende input voor de besprekingen over de hervorming van de
betreffende de bescherming van natuurlijke personen in verband met
gegevensbeschermingswetgeving. Een van de aangesneden kwes-
de verwerking van persoonsgegevens door bevoegde autoriteiten
ties was de vraag of de bepalingen die de Europese Commissie
met het oog op de voorkoming, het onderzoek, de opsporing en de
toelaten gedelegeerde handelingen en uitvoeringshandelingen goed
vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en
te keuren, wel degelijk gerechtvaardigd en noodzakelijk waren.
betreffende het vrije verkeer van die gegevens, concentreert de Groep 29 zich op 4 elementen en stelt in voorkomend geval een amende-
In de bijlagen bij dit advies 08/2012 bevindt zich een artikelsgewijze
ment voor.
analyse van de bepalingen betreffende eventuele gedelegeerde handelingen. In 2013 heeft de groep zich gebogen over de uitvoe-
Het gebruik van gegevens van niet-verdachte personen: de Groep
ringshandelingen, in het ontwerp van verordening, als middel om
29 meent dat niet-verdachte personen een bijzondere bescherming
uniforme, meer technische voorwaarden voor de uitvoering van de
moeten genieten. Er moet voor worden gezorgd dat de lidstaten
verordening vast te stellen, zoals standaardformulieren en -proce-
slechts kunnen overgaan tot een verwerking van gegevens van niet-
dures. In het algemeen volgt de Groep 29 de volgende redenering:
verdachte personen indien bepaalde voorwaarden zijn vervuld, en dat een bijkomende bescherming wordt geëist indien dergelijke gegevens
••
worden verwerkt.
uitvoeringshandelingen kunnen worden gebruikt wanneer eenvormige voorwaarden moeten worden vastgesteld voor de uitvoering van de voorgestelde verordening.
De rechten van betrokkenen: de Groep begrijpt ten volle dat de poli-
••
de goedkeuring van uitvoeringshandelingen versterkt het bindend
tiediensten en gerechtelijke diensten niet steeds volledig transparant
karakter van het gegevensbeschermingskader van de Unie, wat niet
kunnen zijn omtrent de manier waarop zij met gegevens omgaan of
volledig verenigbaar kan zijn met de invoering van het responsa-
welke persoonsgegevens in hun dossiers zijn opgenomen. Dit kan
biliseringsbeginsel (“accountability”), dat de praktische toepassing
immers lopende onderzoeken in gevaar brengen. Niettemin meent de
van de verplichtingen inzake gegevensbescherming overlaat aan
Groep 29 evenzeer dat de huidige uitzonderingen op en beperkingen
de verantwoordelijken voor de verwerking. In veel gevallen zou
van de rechten van betrokkenen te ruim zijn.
het volstaan te beschikken over een richting aangegeven door de
44
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
••
nationale gegevensbeschermingsautoriteiten en indien nodig door
Slimme meters maken overigens deel uit van de eerste toepassingen
het Europees Comité voor gegevensbescherming;
die het internet van de dingen (internet of things) aankondigen. De
in bepaalde bijzondere situaties zouden bindende regels met betrek-
hiervoor vermelde risico’s dreigen nog toe te nemen gelet op de stij-
king tot standaardformulieren en –procedures noodzakelijk kunnen
gende beschikbaarheid van gegevens afkomstig van andere bronnen
blijken indien hun bestaan effectief zou bijdragen aan de bevorde-
zoals lokalisatiegegevens, traceer- en profileringgegevens van het
ring van de gegevensbescherming en om te vermijden dat de markt
internet, videobewakingssystemen en radiogestuurde identificatie-
wordt vervalst, bijvoorbeeld wanneer er gevaar bestaat op forum
systemen (RFID) waarmee de gegevens van slimme meters kunnen
shopping. Volgens het advies van de Groep 29 is dit voornamelijk
worden gecombineerd.
het geval bij bepalingen die meer technische voorwaarden vereisen die niet kunnen opgenomen worden in de verordening ingevolge de
Interessant om te vermelden is de definitie die wordt gegeven voor
technologische neutraliteit van de algemene regels.
een effectbeoordeling met betrekking tot gegevensbescherming “een systematisch proces voor de evaluatie van de potentiële effecten
2. Bijzondere aandacht voor nieuwe technologieën
van risico’s wanneer verwerkingsoperaties specifieke risico’s kunnen opleveren voor de rechten en vrijheden van de betrokkenen, meer
De Groep 29 heeft in zijn hoedanigheid van raadgevend orgaan van
bepaald door hun aard, hun bereik of hun doeleinden” die moet
de Europese Commissie op vraag van deze laatste het model onder-
worden uitgevoerd door de voor verwerking verantwoordelijke of door
zocht voor de privacyeffectbeoordeling van slimme meters. Hij heeft
de verwerkers namens de voor de verwerking verantwoordelijke.
eveneens het ontwerp “Smart Borders – slimme grenzen” onder-
Volgens de Groep 29 dient het EBGB-model bijgevolg direct de feite-
zocht. Hij heeft zich ook gebogen over de kwestie van de instemming
lijke gevolgen voor betrokkenen aan te kaarten, zoals bijvoorbeeld
met cookies en over drones.
financiële verliezen als gevolg van onnauwkeurige facturering, prijsdiscriminatie of strafbare handelingen die worden vergemakkelijkt door
Model voor privacyeffectbeoordeling van slimme meters (WP 205 en WP 209)
ongeoorloofde profilering. Het is enkel onder die voorwaarde dat men zal kunnen spreken over een echte aanpak van de risico’s, met inbegrip van de risico’s die eigen zijn aan de betrokken sector.
Op 9 maart 2012 publiceerde de Europese Commissie een aanbeveling inzake de voorbereiding van de uitrol van slimme metersys-
Meer in het algemeen beveelt de werkgroep de Europese Commissie
temen voor de elektriciteits- en gasmarkt. De aanbeveling voorziet
aan een balans op te maken van de afgeronde en lopende werkzaam-
erin dat de lidstaten een model zullen goedkeuren en implementeren
heden op het gebied van BGB (bijvoorbeeld RFID) en de opportuniteit
voor effectbeoordeling van deze systemen op de bescherming van
te overwegen om een algemene methode voor EBGB te definiëren.
persoonsgegevens (EBGB-model). De Europese Commissie heeft
Wat de noodzaak van een verplichte privacyeffectbeoordeling betreft,
een groep deskundigen gelast met het uitwerken van dit model dat
herinnert de werkgroep aan de ervaring opgedaan met de effectbe-
uiteindelijk ter advies zal voorgelegd worden aan de Groep 29. Reeds
oordeling RFID en onderstreept dat de in de lidstaten beschikbare
in 2012 heeft de Groep 29 het initiatief genomen bepaalde aanbeve-
statistieken aantonen dat de toevlucht tot privacyeffectbeoordelingen
lingen te richten aan deze groep deskundigen, en dit in lijn met het
voor RFID uiterst gering is. Hoewel deze cijfers kunnen verklaard
advies dat hij reeds in 2011 had verstrekt over deze thematiek (WP
worden door verschillende redenen, lijkt een van de belangrijkste
183).
factoren met zekerheid het momenteel ontbreken van een verplichting tot het uitvoeren van een dergelijke privacyeffectbeoordeling.
De uitrol op Europese schaal van “slimme systemen op maat” laat een massale inzameling toe van persoonsgegevens afkomstig van
De werkgroep verstrekte vervolgens een tweede advies waarin hij
Europese gezinnen, gedetailleerd als nooit tevoren: slimme meters
vaststelde dat het ontwerp van template methodologisch aanzien-
laten toe af te leiden welke activiteiten gezinsleden uitoefenen in de
lijk werd verbeterd. Hij meent echter dat verschillende aspecten nog
privésfeer van hun woning en maken het dus mogelijk gedetailleerde
moeten worden opgehelderd, onder meer, en dit is fundamenteel,
profielen van deze personen op te stellen. Op basis van nauwkeurige
de criteria om informatie te kwalificeren als een persoonsgegeven.
gegevens betreffende energieverbruik is het mogelijk heel wat infor-
De identificatie van wat moet worden beschouwd als een gegeven
matie af te leiden met betrekking tot het gebruik van producten, hun
mag niet verward worden met (of gereduceerd worden tot) de impact/
dagelijkse gewoonten, hun tijdsgebruik, hun levenswijze, hun activi-
gevolgen voor het privéleven van een persoon. De Groep 29 beveelt
teiten enz. Het gebruik van deze systemen vormt voor de betrok-
aan een testfase voor de template te organiseren met de steun van
kenen nieuwe risico’s die gevolgen kunnen hebben op verschillende
de gegevensbeschermingsautoriteiten.
gebieden (discriminatie inzake prijzen, profilering met het oog op gedragsgericht adverteren, fiscaliteit, toegang door de ordediensten,
Slimme grenzen (smart borders – WP 206)
veiligheid). Deze risico’s, die reeds voorkomen in andere omgevingen (zoals telecommunicatie, elektronische handel of internet) duiken dus
Op 28 februari 2013 formuleerde de Europese Commissie voorstellen
ook op in de energiesector.
voor een inreis-/uitreissysteem (EES) en een programma voor gere-
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
45
gistreerde reizigers (RTP) voor het Schengengebied. Deze voorstellen
en waarbij informatie wordt verstrekt via een stappenplan, gewoon-
staan bekend onder de naam smart borders package. Er werd tevens
lijk via een link of een reeks links die aan de gebruiker bijkomende
een voorstel gedaan voor het aanbrengen van noodzakelijke wijzigingen aan de Schengengrenscode. Het voorstel betreffende het
informatie verstrekken over de aard van de gebruikte cookies; ••
inreis-/uitreissysteem berust op een gecentraliseerd opslagsysteem
gebruiker van een website ermee instemt dat cookies worden geïn-
met in- en uitreisgegevens van bezoekers die voor kort verblijf worden toegelaten tot het Schengengebied, (met of zonder visum). In plaats
een onmiddellijk zichtbare waarschuwing die vermeldt dat de stalleerd door die website;
••
informatieverstrekking aan gebruikers over de voorwaarden om
van stempels te plaatsen in paspoorten bij de inreis in en de uitreis
hun instemming met cookies te verlenen, ze in te trekken, en infor-
uit het Schengengebied, zullen gegevens die betrekking hebben op
matie betreffende de vereiste handelingen om hun keuze kenbaar te
de identiteit van de bezoeker, de lengte en het doel van zijn verblijf bij inreis in het systeem worden ingevoerd. Bij uitreis worden deze gege-
maken; ••
vens gecontroleerd om te garanderen dat burgers uit derde landen de maximale toegestane verblijfsduur niet overschrijden. Het EESvoorstel voorziet in een systeem dat aanvankelijk gebaseerd is op
een mechanisme aan de hand waarvan een gebruiker kan kiezen om alle of sommige cookies te aanvaarden of te weigeren;
••
een aan de gebruiker geboden optie om een eerder gemaakte keuze inzake cookies te wijzigen.
persoonsgegevens die nodig zijn voor de identificatie van personen. Na 3 jaar worden biometrische gegevens ingevoerd. In het alge-
Gelet op de verschillende interpretaties die worden gegeven aan de
meen meent de Groep 29 dat dit EES-systeem niet voldoet aan de
richtlijn betreffende privacy en elektronische communicatie door de
vereisten van noodzakelijkheid en evenredigheid om de gevolgen voor
betrokken partijen en de respectievelijke voorwaarden voor toepas-
het recht op bescherming van persoonsgegevens te rechtvaardigen
sing van de bedoelde tekst, rijst de volgende vraag: welke toepassing
zoals voorzien in artikel 8 van het Handvest van de grondrechten van
zou juridisch conform zijn voor een website die wordt uitgebaat in alle
de Europese Unie.
lidstaten van de Unie?
Werkdocument betreffende de richtlijnen voor het inwinnen van toestemming voor het gebruik van cookies (WP 208)
In het verlengde van vorige adviezen, meer in het bijzonder dat over de definitie van geldige toestemming in alle lidstaten van de Unie, verklaart de werkgroep dat indien een webmaster wenst dat een
Sinds de goedkeuring in 2009 van de tekst tot wijziging van de richt-
toestemmingsmechanisme voor het gebruik van cookies voldoet aan
lijn betreffende privacy en elektronische communicatie 2002/58/EG,
de voorwaarden die in elke lidstaat gesteld worden, dit mechanisme
omgezet in alle lidstaten van de EU, hebben alle websites een aantal
elk van de volgende kenmerken zou moeten vertonen: specifieke
praktische toepassingen uitgewerkt om de toestemming te vragen
informatieverstrekking, voorafgaande toestemming, keuze kenbaar
voor het gebruik van cookies of andere gelijkaardige traceertechno-
gemaakt door een actieve handeling van de gebruiker en mogelijkheid
logieën die gebruikt worden voor verschillende doeleinden (zoals het
tot vrije keuze. Elk van deze elementen wordt in detail onderzocht in
verbeteren van functionaliteiten, analytiek, gerichte reclame en opti-
het advies.
malisering van producten, enz.) door webmasters of derden.
Advies 02/2013 over apps op intelligente apparaten (WP 202) De webmaster kan verschillende manieren aanwenden om de toestemming te bekomen op voorwaarde dat deze in het licht van de
De Groep 29 vertrekt van de vaststelling dat de apps in staat zijn grote
EU-reglementering als geldig beschouwd kan worden.
hoeveelheden gegevens te verzamelen afkomstig van courante intelligente apparaten (gegevens die op het apparaat zijn opgeslagen door
Hoewel de richtlijn betreffende privacy en elektronische communi-
de gebruiker of gegevens afkomstig van verschillende sensoren, zoals
catie bepaalt dat toestemming vereist is om cookies op te slaan of
locatiegegevens) en die te verwerken om de eindgebruiker nieuwe en
er toegang toe te hebben, varieert de praktische uitvoering van deze
innovatieve diensten te verlenen. De Groep stelt eveneens vast dat
juridische verplichting van webmaster tot webmaster in alle lidstaten
app-ontwikkelaars die zich vaak niet bewust zijn van de verplichtingen
van de Unie. De momenteel vastgestelde gebruiken op dit gebied
inzake gegevensbescherming. De belangrijkste risico’s voor eindge-
berusten op een of meer van de volgende praktijken, hoewel moet
bruikers op het gebied van gegevensbescherming zijn het gebrek aan
worden opgemerkt dat zelfs indien zij nuttig kunnen zijn om toestem-
transparantie en kennis met betrekking tot de verwerking die door
ming te krijgen, het onwaarschijnlijk is dat slechts een van deze prak-
een app zou kunnen worden uitgevoerd, gecombineerd met het
tijken volstaat aangezien aan alle voorwaarden voor een dergelijke
ontbreken van een uitdrukkelijke toestemming van de eindgebruiker
toestemming voldaan moet zijn (zo vergt bijvoorbeeld een effectief
voordat verwerking plaatsvindt. Slechte beveiligingsmaatregelen, een
keuzemechanisme eveneens het versturen van een waarschuwing en
duidelijke trend in de richting van maximale gegevensinzameling en
informatie):
de rekbaarheid van de doelen waarvoor persoonsgegevens worden verzameld, dragen verder bij aan de risico’s die de huidige markt voor
••
een onmiddellijk zichtbare waarschuwing die vermeldt dat verschil-
apps met zich meebrengt op het gebied van gegevensbescherming.
lende soorten cookies worden gebruikt door de bezochte website
Het advies wil het juridisch kader verduidelijken dat de gegevensver-
46
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
werking regelt bij de ontwikkeling, de distributie en het gebruik van
onderhavig advies verderop aantoont slaat deze verplichting niet op
apps bestemd voor intelligente apparaten en de nadruk leggen op
de openbaarmaking van persoonsgegevens maar enkel op het herge-
verplichte toestemming, de beginselen van doelbinding en gegevens-
bruik van informatie die reeds openbaar toegankelijk is krachtens de
minimalisering, de noodzaak om passende veiligheidsmaatregelen te
nationale wetgeving en, zelfs dan enkel als het hergebruik niet in strijd
nemen, de verplichting om de eindgebruiker correct te informeren,
is met de bepalingen van de geldende wetgeving inzake gegevens-
de rechten van deze laatste, redelijke bewaringstermijnen en, meer in
bescherming.
het bijzonder, een loyale verwerking van gegevens afkomstig van en betreffende kinderen.
Tot besluit herhaalt de Groep 29 dat het hergebruik van overheidsinformatie voordelen kan bieden die de transparantie en het innova-
Drones
tief hergebruik van overheidsinformatie kunnen bevorderen. Toch is de betere toegankelijkheid van informatie die daaruit voortvloeit niet
In mei 2013 stuurde de DG Ondernemingen en Industrie van de Euro-
zonder risico. Er moet een uitgebalanceerde benadering worden
pese Commissie een vragenlijst aan de Groep 29 met betrekking tot
gehanteerd om de bescherming van de persoonlijke levenssfeer
de kwesties inzake bescherming van het privéleven en persoons-
en persoonsgegevens van de natuurlijke personen te waarborgen.
gegevens bij het gebruik van drones door regeringen en private en
De wetgeving inzake gegevensbescherming moet bijdragen tot het
commerciële operatoren (persoonlijk en recreatief gebruik uitgezon-
selectieproces van persoonsgegevens die al dan niet mogen beschik-
derd). Op de website van de Groep 29 is een samenvatting beschik-
baar gesteld worden voor hergebruik, alsook voor het nemen van de
baar van de overwegingen van de nationale gegevensbeschermings-
maatregelen om de persoonsgegevens te beschermen.
autoriteiten, waarvan wordt benadrukt dat niet zozeer het gebruik van drones maar wel het gebruik van de verschillende technologieën die
Los van het beginsel van hergebruik geformuleerd in de gewijzigde
hiermee gepaard gaan een probleem vormen (hoge resolutiecame-
richtlijn overheidsinformatie, is het hergebruik voor commerciële
ra’s, micro’s, infraroodcamera’s, onderschepping van wi-fi commu-
of niet-commerciële doeleinden overeenkomstig de richtlijn over-
nicatie), alsook de inzameling en verwerking van persoonsgegevens
heidsinformatie niet steeds aangewezen indien de voor hergebruik
die hieruit voortvloeien. De uitoefening van rechten, kennisgeving aan
bestemde overheidsinformatie persoonsgegevens bevat. Het zijn
de betrokkenen, onder meer over het beoogde doeleinde, zijn even-
niet zozeer persoonsgegevens, maar statistische gegevens op basis
veel basisbeginselen van de bescherming van persoonsgegevens
van persoonsgegevens die gewoonlijk voor hergebruik ter beschik-
waarvan de toepassing moeilijk, dan wel onmogelijk lijkt. Het vraag-
king worden gesteld en, in principe, ter beschikking moeten worden
stuk wordt reeds onderzocht door verschillende gegevensbescher-
gesteld.
mingsautoriteiten (de Privacycommissie plant dit onderzoek in 2014). Niettemin kan in sommige gevallen ook worden geoordeeld dat
3. De gevolgen voor de gegevensbescherming van sommige Europese reglementeringen
persoonsgegevens beschikbaar zijn voor hergebruik overeenkomstig de voorwaarden van de richtlijn overheidsinformatie, waarbij eventueel aanvullende wettelijke, technische of organisatorische maatre-
Advies 6/2013 over open gegevens en hergebruik van overheidsinformatie (WP 207)
gelen moeten worden getroffen ter bescherming van de betrokkenen. Voor deze gevallen herhaalt de Groep dat het van groot belang is een solide rechtsgrond vast te stellen voor de openbare terbeschikking-
Op 26 juni 2013 heeft de Europese Unie Richtlijn 2013/37/EU van
stelling van persoonsgegevens, rekening houdend met de relevante
het Europees Parlement en de Raad (de “gewijzigde richtlijn over-
bepalingen inzake gegevensbescherming, waaronder het beginsel
heidsinformatie”) tot wijziging van Richtlijn 2003/98/EG inzake het
van evenredigheid, minimalisering van de gegevensverwerking
hergebruik van overheidsinformatie (de “richtlijn overheidsinformatie”)
en doelbinding. In deze context moet ook opnieuw worden bena-
vastgesteld.
drukt dat alle, al dan niet openbaar beschikbare, gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als
De richtlijn overheidsinformatie is bedoeld om het hergebruik van
persoonsgegevens gelden. Daarom geldt voor de toegang tot en het
overheidsinformatie te vereenvoudigen door de voorwaarden voor
hergebruik van persoonsgegevens die openbaar ter beschikking zijn
hergebruik in de Europese Unie te harmoniseren en onnodige belem-
gesteld steeds de toepasselijke wetgeving inzake gegevensbescher-
meringen voor hergebruik op de interne markt weg te nemen.
ming.
De oorspronkelijke tekst uit 2003 van de richtlijn overheidsinformatie
In het licht van deze overwegingen doet de Groep de volgende
voorzag in de harmonisatie van de voorwaarden voor hergebruik,
aanbevelingen:
maar niet in de vereiste dat openbare lichamen gegevens ter beschikking moeten stellen voor hergebruik. De richtlijn overheidsinformatie
••
overeenkomstig de beginselen van “privacy by design” en “privacy
verplicht dus de organismen van de openbare sector het hergebruik
by default” moet er, wanneer wordt overwogen om overheidsinfor-
toe te laten van alle openbare gegevens die zij bezitten. Zoals het
matie openbaar ter beschikking te stellen, in een zo vroeg mogelijk
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
47
stadium rekening worden gehouden met de mogelijkheid dat overheidsinformatie persoonsgegevens bevat; ••
op grond hiervan moet het betrokken openbare lichaam (of de
4. Beschermingsinstrumenten voor grensoverschrijdende doorgiften en om aan de noden van multinationals te beantwoorden
wetgever, naargelang van het geval) een privacyeffectbeoordeling uitvoeren alvorens persoonsgegevens bevattende overheidsin-
BCR verwerkers (WP204)
formatie ter beschikking kan worden gesteld voor hergebruik (of
••
••
••
••
alvorens een wet wordt vastgesteld die de publicatie van persoons-
In 2010 stelde de Europese Commissie een nieuwe reeks modelcon-
gegevens toestaat, waardoor deze gegevens mogelijk beschikbaar
tractbepalingen vast betreffende de doorgifte van gegevens tussen
worden voor hergebruik); ook moet een privacyeffectbeoordeling
voor de verwerking verantwoordelijken en verwerkers als reactie
worden uitgevoerd wanneer geanonimiseerde datasets op basis
op de groei van verwerkingsactiviteiten en met name de opkomst
van persoonsgegevens voor hergebruik ter beschikking zullen
van nieuwe bedrijfsmodellen voor de internationale verwerking van
worden gesteld;
persoonsgegevens. Hoewel modelcontractbepalingen een doel-
wanneer datasets worden geanonimiseerd, is het van essentieel
matige methode lijken te zijn voor het reguleren van niet-massale
belang dat het risico van heridentificatie wordt beoordeeld en geldt
doorgiften van een gegevensexporteur binnen de EU naar een gege-
het als goede praktijk om heridentificatietests uit te voeren;
vensimporteur buiten de EU, heeft de outsourcingsector blijvend
de uitkomst van de beoordelingen kan helpen bij de vaststelling
aangedrongen op een nieuw wettelijk instrument dat een wereldwijde
van passende waarborgen om risico’s te verkleinen, waaronder
aanpak van de gegevensbescherming in de outsourcingsector moge-
ook wettelijke, technische en organisatorische maatregelen, zoals
lijk maakt en officiële erkenning biedt voor de interne voorschriften die
geschikte licentievoorwaarden en technische maatregelen ter voor-
organisaties al hebben ingevoerd. Zo heeft de Groep 29 in 2012 een
koming van massadownloads van gegevens, alsook adequate
werkdocument opgesteld (WP 195) dat de elementen en beginselen
anonimiseringstechnieken; dit kan ook tot het besluit voeren om af
bevat die in bindende bedrijfsvoorschriften voor verwerkers moeten
te zien van de openbaarmaking en/of de terbeschikkingstelling voor
worden opgenomen – voor de omkadering van massale gegevens-
hergebruik;
doorgiften door een verwerker naar latere verwerkers binnen dezelfde
de licentievoorwaarden voor het hergebruik van overheidsinfor-
organisatie die optreden voor rekening van en volgens de onder-
matie moeten een clausule inzake gegevensbescherming bevatten
richtingen van een verantwoordelijke voor de verwerking - alsook
wanneer persoonsgegevens worden verwerkt, maar ook wanneer
een aanvraagformulier voor het indienen van bindende bedrijfsvoor-
geanonimiseerde datasets op basis van persoonsgegevens ter
schriften voor verwerkers. De invoering van bindende bedrijfsvoor-
beschikking worden gesteld voor hergebruik;
schriften voor verwerkers werd op 5 december 2012 door de Groep
indien de privacyeffectbeoordeling uitwijst dat een vrije licentie niet
29 bevestigd.
voldoende is om de privacyrisico’s aan te pakken, mogen open-
••
bare lichamen geen persoonsgegevens ter beschikking stellen uit
In de in 2013 goedgekeurde toelichting verduidelijkt de Groep 29 de
hoofde van de richtlijn overheidsinformatie. (Het openbare lichaam
inhoudelijke elementen van bindende bedrijfsvoorschriften, de regels
mag echter nog steeds zelf beslissen om hergebruik buiten de
met betrekking tot de afdwingbaarheid ervan, de middelen om de
voorwaarden en het toepassingsgebied van de richtlijn overheids-
naleving en handhaving ervan te garanderen alsook de aansprake-
informatie te overwegen en kan ook van aanvragers eisen dat zij
lijkheidsvraagstukken. Dit document vormt een eerste beslissende
aantonen dat eventuele risico’s voor de bescherming van persoons-
stap voor de bevordering van het gebruik van op verwerkers toepas-
gegevens afdoende zijn aangepakt en dat de aanvrager de gege-
selijke bindende bedrijfsvoorschriften in een zelfregulerend kader
vens in overeenstemming met de geldende wetgeving inzake gege-
van samenwerking tussen gegevensbeschermingsautoriteiten. Dit
vensbescherming zal verwerken);
doet natuurlijk niets af aan de mogelijkheid om gebruik te maken van
waar nodig moeten openbare lichamen ervoor zorgen dat persoons-
andere instrumenten voor gegevensdoorgiften naar derde landen,
gegevens worden geanonimiseerd en dat de licentievoorwaarden
zoals modelcontractbepalingen of in voorkomend geval de “Safe
een specifiek verbod bevatten op de heridentificatie van betrok-
Harbor”-beginselen.
kenen en op het hergebruik van persoonsgegevens voor doeleinden die de betrokkenen kunnen schaden; ••
tot slot moeten lidstaten tevens overwegen om steun vast te
5. Bijdrage tot een geharmoniseerde toepassing van de momenteel van kracht zijnde Richtlijn 95/46/EG
stellen en te verlenen aan kennisnetwerken/excellentiecentra en het zodoende mogelijk maken om goede praktijken inzake anonimise-
Advies betreffende het finaliteitsbeginsel (WP 203)
ring en open gegevens uit te wisselen.
Zoals hij dat deed voor de begrippen “persoonsgegevens” , “verantwoordelijke voor de verwerking en verwerker” heeft de Groep 29 ook het finaliteitsbeginsel onderzocht. Na een grondige analyse formuleert hij een aantal aanbevelingen voor een concrete toepassing van dit sleutelbegrip van het gegevensbeschermingsstelsel. Dit beginsel
48
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
beschermt de betrokkenen door beperkingen op te leggen aan de verantwoordelijken voor de verwerking voor het gebruik van gegevens, doch niet zonder hen een zekere flexibiliteit te bieden. Het fina-
7.3 IWGDPT (International Working Group on Data Protection in Telecommunication)
liteitsbeginsel steunt op twee vereisten: (1) gegevens moeten ingezameld worden voor specifieke, uitdrukkelijke en gerechtvaardigde
••
“Groep van Berlijn”;
doeleinden en (2) de gegevens mogen niet verder worden verwerkt
••
Bescherming persoonsgegevens in telecommunicatiesector.
op een wijze die onverenigbaar is met de oorspronkelijke doeleinden. Een latere verwerking is dus niet per definitie onverenigbaar. Het
Ook dit jaar heeft het secretariaat van de Privacycommissie deelge-
onderzoek naar de verenigbaarheid gebeurt geval per geval, rekening
nomen aan de halfjaarlijkse vergaderingen van de IWGDPT (Inter-
houdend met het geheel van omstandigheden van de verwerking. Het
national Working Group on Data Protection in Telecommunication),
advies somt een aantal parameters op waarmee onder meer dient
ook de “Groep van Berlijn” genaamd. Deze internationale werkgroep
rekening te worden gehouden:
behandelt de bescherming van persoonsgegevens in het domein telecommunicatie en nieuwe technologieën.
•• ••
het verband tussen het doeleinde waarvoor de gegevens oorspronkelijk werden ingezameld en de doeleinden van de latere verwerking;
Volgende working papers zijn dit jaar het voornaamste resultaat van
de context waarin de gegevens werden ingezameld en de redelijke
deze vergaderingen:
verwachtingen van de betrokkenen betreffende het latere gebruik ervan; ••
voor de betrokkene; ••
••
de aard van de gegevens en de impact van de latere verwerking
Working Paper on the Human Right to Telecommunications Secrecy (Berlijn, 2-3 september 2013);
••
de door de verantwoordelijke voor de verwerking voorziene garan-
Working Paper and Recommendations on the Publication of Personal Data on the Web, Website Contents Indexing and the
ties om ieder ongewenst gevolg voor de betrokkene te vermijden.
Protection of Privacy (Praag, 15-16 april 2013); ••
Working Paper on Web Tracking and Privacy: Respect for context,
In ditzelfde advies onderzoekt de Groep 29 op kritische wijze hoe dit
transparency and control remains essential (Praag, 15-16 april
beginsel wordt omkaderd in het ontwerp van verordening dat door
2013).
de Europese Commissie werd neergelegd in januari 2012. De Groep 29verzet zich tegen de ruime uitzonderingen op dit beginsel die in de
Deze documenten zijn beschikbaar op de website van de IWGDPT:
ontwerptekst zijn opgenomen en pleit ervoor dat de lijst met criteria – niet exhaustief maar waar vaak gebruik van wordt gemaakt – in deze
http://www.datenschutz-berlin.de/content/europa-international/inter-
op handen zijnde reglementering zou worden opgenomen.
national-working-group-on-data-protection-in-telecommunicationsiwgdpt/working-papers-and-common-positions-adopted-by-the-
6. In dialoog met de buitenwereld en andere internationale instanties: Europese positionering
working-group Op vraag van Duitsland en verschillende andere landen waaronder
De Groep 29 leverde eveneens een bijdrage in het raam van de open-
België werd de tekst van de Working Paper on Web Tracking and
bare raadpleging door het Wereldantidopingagentschap (WADA)
Privacy: Respect for context, transparency and control remains
over de ontwerpen van een code en bijgevoegde internationale
essential vervolgens voorgelegd aan de 35ste Internationale Confe-
standaarden (o.m. deze betreffende de bescherming van persoon-
rentie van commissarissen voor gegevensbescherming en privacy,
lijke informatie). De Groep 29 dringt aan op eerbiediging van de
en diende hij als basis voor de door de conferentie goedgekeurde
grondrechten van sportlui en hun entourage, met name hun recht
resolutie: Resolution on web tracking and privacy (Warschau, 23-26
op bescherming van de persoonlijke levenssfeer en persoonsgege-
september 2013)
vens. Hij dringt in het bijzonder aan op de vereiste kenmerken van de toestemming en op proportionaliteit, zowel betreffende de vraag naar
Dit document is beschikbaar op volgend adres :
lokalisatiegegevens (whereabouts) als inzake de bewaringstermijn van de gegevens in het algemeen.
https://privacyconference2013.org/web/pageFiles/kcfinder/ files/8.%20Webtracking%20Resolution%20EN%281%29.pdf
Ten slotte heeft de Groep 29 zijn werkzaamheden verdergezet met betrekking tot de thematiek van de gegevensbescherming en de strijd tegen witwaspraktijken, betreffende het TFTP II-akkoord met de Verenigde Staten en heeft hij de ontwerpen onderzocht van de IATA (International Air Transport Association) en van de ICANN (Internet Corporation for Assigned Names and Numbers).
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
49
7.4
Gemeenschappelijke controleorganen
genlanden als van consulaten van deze landen die in niet EU-staten gevestigd zijn. Ook de computersystemen aan alle grensovergangen
7.4.1 Schengen
van Schengenlanden die grenzen aan niet-Schengenlanden, zijn aan de centrale infrastructuur gekoppeld. Het systeem verwerkt gegevens
••
Informatie-uitwisseling via het SIS
en beslissingen over visumaanvragen voor een kort verblijf in of een
••
Uitvoering Schengenovereenkomst
transit door de Schengenzone. Voor identificatie in het systeem wordt biometrie gebruikt, voornamelijk vingerafdrukken.
Het Schengeninformatiesysteem ( “SIS”) is een bestand dat gemeenschappelijk is voor alle lidstaten van de Schengenruimte. Hierin
Alle landen van de Schengenzone gebruiken het VIS. De bevoegde
worden twee grote categorieën informatie gecentraliseerd, enerzijds
autoriteiten voor visumuitgifte in deze landen hebben toegang tot de
informatie over gezochte of verdwenen personen of personen die
centrale databank voor alle visumaanvragen. Ook de autoriteiten die
onder toezicht werden geplaatst, anderzijds informatie over gezochte
verantwoordelijk zijn voor identificatie en controles aan de buiten-
voertuigen of voorwerpen zoals identiteitsdocumenten, inschrijvings-
grenzen van de Schengenzone mogen het systeem raadplegen, net
bewijzen en nummerplaten van voertuigen.
zoals overheden die asielaanvragen behandelen. In uitzonderlijke gevallen wordt het VIS ook gebruikt om misdrijven te onderzoeken.
De geregistreerde gegevens zijn onderworpen aan strenge beschermingsregels. Daarom werd een gemeenschappelijke controleautori-
De Europese Toezichthouder voor gegevensbescherming (EDPS)
teit (“GCA”) opgericht, die bestaat uit leden van de verschillende nati-
houdt toezicht op de gegevensverwerkingen in het centrale gedeelte
onale autoriteiten voor gegevensbescherming. De GCA vergadert elk
van het VIS-systeem. De nationale toezichthoudende autoriteiten,
trimester. Zij publiceert adviezen, voert onderzoeken en inspecties uit
waaronder dus ook de Privacycommissie, houden toezicht op de
en volgt technische en juridische evoluties op.
rechtmatigheid van de gegevensverwerkingen op nationaal niveau, alsook op de verzending van de gegevens naar het centrale gedeelte
SIS II Supervision Coordination Group
van het systeem. Teneinde een gecoördineerde aanpak te waarborgen werd een coördinerende controlegroep (“toezichtgroep”)
De Supervision Coordination Group (SCG) SIS II is een onafhankelijke
opgericht, samengesteld uit de EDPS en de nationale gegevensbe-
instantie die is samengesteld uit leden van elke nationale gegevens-
schermingsautoriteiten, die op regelmatige tijdstippen vergadert om
beschermingsautoriteit en de EDPS. Het secretariaat van de SCG
de gemeenschappelijke problemen te onderzoeken die zich stellen
wordt verzorgd door de Europese Toezichthouder voor gegevensbe-
met de werking van het VIS-systeem.
scherming (EDPS). De toezichtgroep heeft voor de komende jaren een werkprogramma Deze SCG bestaat sinds 9 april 2013, omdat op die datum SIS II
voorbereid. Dit programma voorziet in:
in werking is getreden. Voordien waakte de gemeenschappelijke controleautoriteit Schengen (de Schengen Joint Supervisory Autho-
••
rity of JSA Schengen) over de rechtmatigheid van de verwerkingen
bescherming zowel op nationaal als op Europees niveau (om de
van persoonsgegevens binnen de SIS-databank. In de SIS II-verordening (Verordening (EG) nr. 1987/2006 van het Europees Parlement en
4 jaar); ••
de Raad van 20 december 2006 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede
een volledige veiligheidsaudit door de overheden voor gegevens-
gecoördineerde inspecties en uitwerking van een gemeenschappelijk activiteitenverslag (om de 2 jaar);
••
generatie) zijn de technische aspecten en de werking van SIS II vast-
specifieke activiteiten gebaseerd op noden die door de supervisiegroep worden vastgesteld (jaarlijks).
gesteld, alsook de voorwaarden voor de invoering van signaleringen in de databank met het oog op weigering van toegang of verblijf voor
7.4.3 Europol
onderdanen van derde landen, de verwerking van gegevens betreffende signaleringen en de voorwaarden voor gegevensbescherming.
••
Correcte opslag, verwerking en gebruik Europol-gegevens
••
Wettigheid gegevensdoorgifte vanuit Europol
7.4.2 Toezichtgroep VIS Een gemeenschappelijk controleorgaan (hierna “GCO”), samen••
Toezicht op het Visa Informatie Systeem (VIS);
gesteld uit vertegenwoordigers van de nationale controleorganen
••
Uitwisseling van visumgegevens.
(waaronder de Privacycommissie), is belast met het toezicht op de activiteiten van Europol teneinde erover te waken dat de opslag,
Dankzij het Visa Informatie Systeem (VIS) kunnen de Schengenlanden
de verwerking en het gebruik van de gegevens waarover Europol
visumgegevens uitwisselen. Het bestaat uit een centraal computer-
beschikt, geen afbreuk doen aan de rechten van de burgers. Het
systeem dat verbonden is met nationale informaticasystemen van
controleert bovendien de rechtmatigheid van doorgiften van gege-
zowel de overheden die bevoegd zijn voor visumuitgifte in Schen-
vens die afkomstig zijn van Europol.
50
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Inspectie
De toezichtgroep heeft voor de komende jaren een werkprogramma voorbereid. Dit programma voorziet in:
In maart 2013 heeft het GCO een controleteam afgevaardigd om onder meer :
••
een volledige veiligheidsaudit door de overheden voor gegevensbescherming zowel op nationaal als op Europees niveau (om de
••
de inhoud en de kwaliteit te controleren van persoonsgegevens die
4 jaar);
verwerkt worden door Europol in werkbestanden en in het Europo-
••
gecoördineerde inspecties (om de 2 jaar);
linformatiesysteem;
••
specifieke activiteiten gebaseerd op noden die door de supervisie-
••
de werking van het Europolinformatiesysteem te controleren;
••
de technische infrastructuur van Europol te controleren;
••
het Siena-systeem te controleren. SIENA (Secure Information Exchange Application, een informaticatool die Europol gebruikt voor operationele en misdaadgerelateerde informatieuitwisseling).
Een rapport hierover is hierover goedgekeurd en vervolgens – gedeel-
groep worden vastgesteld (jaarlijks).
7.5 Hervorming van het Europees reglementair kader voor gegevensbescherming ••
telijk – bekendgemaakt.
Europees voorstel van verordening ter vervanging van de huidige Richtlijn 95/46/EG;
••
Follow-up door interne werkgroep Privacycommissie
7.4.4 Coördinatiegroep Eurodac In 2012 bracht de Privacycommissie een kritisch advies uit (35/2012) ••
Digitale vingerafdrukken van asielzoekers en immigranten op
over het voorstel van Verordening betreffende gegevensbescher-
EU-grondgebied
ming dat door de Europese Commissie in januari van hetzelfde jaar
••
Toepassing Verordening van Dublin
werd neergelegd. Met deze voorstellen van verordening en richtlijn
••
Toezicht door Europese Toezichthouder voor gegevensbescherming
ter omkadering van de gegevensbescherming in de sectoren van
en nationale gegevensbeschermingsautoriteiten
politie en gerecht, ijvert de Europese Commissie voor een ambitieuze hervorming van het Europees reglementair kader voor gegevensbe-
Eurodac is een informatiesysteem dat de digitale vingerafdrukken
scherming.
bevat van asielzoekers en illegale immigranten die zich op het grondgebied van de EU bevinden. De lidstaten kunnen via Eurodac asiel-
In 2013 heeft de werkgroep, waaronder het voorzitterschap van de
aanvragers identificeren, alsook personen die aangehouden werden
Privacycommissie alsook leden van haar secretariaat, intensief verder
wegens het onrechtmatig overschrijden van een buitengrens van
gewerkt aan de analyse en steun verleend aan de FOD Justitie in het
de Gemeenschap. Door vingerafdrukken te vergelijken kunnen de
raam van de onderhandeling van de tekst in de Raad, via juridische
lidstaten nagaan of een asielzoeker of een vreemdeling die illegaal
nota’s (gedelegeerde handelingen, risk based approach, pseudonimi-
op het grondgebied verblijft reeds een asielaanvraag indiende in een
sering…), door hun aanwezigheid bij vergaderingen van de Europese
andere lidstaat of nog, of de asielzoeker op onregelmatige wijze het
Directie Generaal (DGE) en de FOD Buitenlandse Zaken of nog bij de
grondgebied van de Unie heeft betreden.
vergaderingen van DAPIX (Technische werkgroep “Working Party on Information Exchange and Data Protection”). De werkgroep vestigde
Teneinde een gecoördineerde aanpak te waarborgen werd een coör-
eveneens de aandacht van de federale regering en van de kamer
dinerende controlegroep (“toezichtgroep”) opgericht, samengesteld
van volksvertegenwoordigers op de gevolgen van deze voorstellen
uit de Europese Toezichthouder voor gegevensbescherming en de
voor de burger, de privésector en de openbare sector alsook voor
nationale gegevensbeschermingsautoriteiten (waaronder de Privacy-
de Privacycommissie zelf in haar hoedanigheid van controleautoriteit.
commissie), die op regelmatige tijdstippen vergadert om de gemeenschappelijke problemen te onderzoeken die zich stellen met de
De werkgroep heeft eveneens de inhoud van deze voorstellen
werking van het Eurodacsysteem en om gemeenschappelijke oplos-
uiteengezet aan andere instellingen die de Privacycommissie hierom
singen voor te stellen.
hadden verzocht.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
51
De werkgroep heeft eveneens voorstellen van amendementen opge-
Ten slotte heeft de Privacycommissie, via de Groep artikel 29 die 28
steld. Deze amendementen werden doorgezonden aan de Belgische
gegevensbeschermingsautoriteiten van de Europese Unie groepeert,
Europarlementsleden. De werkgroep onderzocht overigens de voor-
samen met de Europese Toezichthouder voor gegevensbescherming
stellen van amendementen van de Commissie LIBE (leidende autori-
(EDPS), haar standpunt kenbaar gemaakt (in de lijn van haar advies
teit in dit dossier) van het Europees Parlement die gestemd werden in
35/2012). Omwille van coherentie met haar eigen ingenomen stand-
de maand oktober 2013. De werkgroep nam zich voor een ontwerp
punten heeft de Privacycommissie zich sinds 2012 onthouden bij de
van advies voor te bereiden over de tekst van de Commissie LIBE en
verschillende adviezen die door de Groep 29 werden geformuleerd
deze begin 2014 voor te leggen aan het college van commissarissen
met betrekking tot het voorstel van verordening.
van de Privacycommissie.
52
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
8
Activiteiten van de Privacycommissie in cijfers
8.1 Regelgeving en normering
De regelgevende teksten die in 2013 gepubliceerd zijn en waarvoor de Privacycommissie een advies uitbracht, zijn zoals de voorgaande
8.1.1 Adviezen, aanbevelingen en aanbevelingen latere verwerking
jaren onderworpen aan een evaluatieprocedure. In totaal zijn 22 dossiers opgestart, waarbij werd nagegaan in hoeverre het door de Privacycommissie uitgebrachte advies werd gevolgd en in welke mate
Adviezen en aanbevelingen richten zich tot de bevoegde overheden
de regelgeving de verwerking van persoonsgegevens beschermt.
en instanties, met als doel een kader aanreiken voor de verwerking en mededeling van persoonsgegevens. Deze adviezen en aanbevelingen
Om deze evaluatie op een uniforme manier te kunnen uitvoeren, werd
worden verstrekt door de Privacycommissie of door een specifiek
een standaardformulier ontwikkeld. Dit formulier is opgedeeld in twee
opgericht sectoraal comité binnen de Privacycommissie. Aanbeve-
delen. In een eerste deel wordt nagegaan in hoeverre de regelge-
lingen inzake latere verwerking zijn daarentegen bedoeld voor verant-
ving is aangepast ingevolge en conform het advies van de Priva-
woordelijken voor de verwerking. De Privacycommissie behandelt
cycommissie. Dit gebeurt aan de hand van de opmerkingen in het
haar adviestaak door middel van beslissingsdossiers. In 2013 heeft
advies en een evaluatie van de wijze waarop die in de besluitvorming
de Privacycommissie 106 beslissingsdossiers geopend.
werden omgezet. In een tweede deel wordt nagegaan in hoeverre de reglementaire tekst een stempel drukt op de privacybescherming.
De adviestaak wordt voornamelijk gestuurd door adviesaanvragen
Dit gebeurt door middel van een vergelijking tussen de wettekst ter
(69 geopende adviesdossiers), waarvan er in totaal 67 van de wetge-
advies voorgelegd aan de Privacycommissie en de gepubliceerde
vende instellingen kwamen. De Privacycommissie kan echter ook op
(nieuwe) wettekst. Na analyse van deze twee onderdelen wordt een
eigen initiatief een advies of aanbeveling uitbrengen: zij heeft in 2013
eindbalans opgemaakt: wat is de impact van de Privacycommissie op
1 dergelijk adviesdossier geopend en 4 dergelijke aanbevelingsdos-
de wetgeving en wat is de impact van de wetgeving op de privacy?
siers opgestart.
De evaluatie gebeurt door de jurist die het dossier in kwestie behandeld heeft, in samenspraak met de verslaggever. Vervolgens wordt
Ook bij aangifte van een latere verwerking van persoonsgegevens
het evaluatieformulier op zitting ter informatie aan de leden van de
waarbij de verantwoordelijke voor de verwerking de informatieplicht
Privacycommissie medegedeeld.
die de Privacywet voorschrijft niet kan invullen, wordt een aanbeveling opgesteld. Deze aanbeveling omvat de voorwaarden en maatre-
Van de 22 in 2013 geopende evaluatiedossiers werden er 21 afge-
gelen die de verantwoordelijke in acht moet nemen wanneer hij de
handeld. Slechts in 1 geval volgde de wetgever het advies van de
gegevens verwerkt. In 2013 werden 11 dossiers in verband met een
Privacycommissie helemaal niet. In 52% van de gevallen werd het
aanbevelingen latere verwerking geopend.
advies van de Privacycommissie volledig gevolgd en in bijna 20% van de gevallen gedeeltelijk, maar met een duidelijke positieve impact van
De Privacycommissie behandelde de adviezen op aanvraag van de
de Privacycommissie. Wanneer de uiteindelijk aangenomen versies
wetgevende instansties (70 in totaal) in 90,8% binnen de 2 maanden.
van de regelgevende teksten worden bekeken, is vast te stellen dat in 67% van de gevallen een verbetering merkbaar was. Algemeen kan
8.1.2 Evaluatiedossiers
dus gesteld worden dat de wetgever in de meeste gevallen rekening hield met de opmerkingen van de Privacycommissie.
Eind 2008 is het secretariaat gestart met een evaluatieprocedure voor regelgevende teksten waarover door de Privacycommissie advies
8.2 Handhavingsbeleid
werd uitgebracht, teneinde na te gaan in hoeverre het door de Privacycommissie uitgebrachte advies werd gevolgd en in welke mate de
De activiteiten die deel uitmaken van het handhavingsbeleid betreffen
regelgeving de verwerking van persoonsgegevens beschermt. Het
niet alleen de bevoegde overheidsinstanties, maar ook alle verant-
evaluatiesysteem is van toepassing op adviezen artikel 29 (van de
woordelijken voor de verwerking.
Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens),
Machtigingen verlenen betekent dat de Privacycommissie aan een
uitgebracht naar aanleiding van een verzoek door een in deze bepa-
instantie uit een bepaalde sector toelating geeft voor de verwerking of
ling opgenomen instantie, omtrent een ontwerp van wet, koninklijk
mededeling van persoonsgegevens. Indien voor de betrokken sector
besluit, decreet, … . Adviezen uit eigen beweging worden enkel
een sectoraal comité is ingesteld, wordt deze opdracht uitgevoerd
opgenomen in geval deze betrekking hebben op een wetgevend initi-
door dit sectoraal comité. Via het evocatierecht kan een sectoraal
atief. De evaluatiemethode is niet van toepassing op beraadslagingen
comité de machtigingsaanvraag echter ook steeds voorleggen aan
van de sectorale comités.
de Privacycommissie.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
53
Het Statistisch Toezichtscomité werd opgericht in 2007, maar was in
zijn (klantgerichte antwoorden) als gericht op een doelgroep (lezing)
2013 nog niet samengesteld. Daarom werd de behandeling van de
of het grote publiek (website en openbaar register).
machtigingsaanvragen voor dit Comité opgestart binnen de Privacycommissie. Het Statistisch Toezichtscomité ziet toe op mededeling
8.3.1 Informatieondersteuning door het frontoffice
door de Algemene Directie Statistiek - Statistics Belgium (het vroegere Algemene Directie Statistiek en Economische Informatie) van
In 2013 heeft het frontoffice 2 868 “vraag-en-antwoorddossiers”
gecodeerde studiegegevens aan derden, en op het gebruik van die
geopend en behandeld wat gemiddeld neerkomt op 239 oproepen
gegevens door deze derden. In 2013 zijn 22 individuele machtigings-
per maand.
aanvragen ontvangen die, samen met nog openstaande machtigingsaanvragen uit 2012, hebben geleid tot 27 machtigingen (zie ook het
Het frontoffice heeft in 2013 467 vragen ontvangen over beeldver-
deel over de sectorale comités).
werking, waarbij het merendeel van de vragen betrekking had op het gebruik van bewakingscamera’s (14,85% van alle “vraag-en-
Ten aanzien van de verantwoordelijken voor de verwerking oefent de
antwoord”-dossiers). De overige veel voorkomende domeinen zijn:
Privacycommissie eveneens controle- en inspectietaken uit, verstrekt
privacybeginselen (8,12%), arbeid (5,47%), economie (3,35%) (met
zij aanbevelingen en evalueert zij de genomen veiligheidsmaatregelen.
voornamelijk vragen inzake consumentenkrediet) en overheid (2,24%).
8.2.1 Controletaken
8.3.2 Aangiften in het openbaar register
In 2013 heeft de Privacycommissie op twee niveaus controles uitge-
Vooraleer de verantwoordelijke voor de verwerking een gedeelte-
voerd. Het eerste niveau betreft controles op de verwerkingen die
lijke of volledig geautomatiseerde verwerking verricht, moet hij deze
verricht worden in het kader van enerzijds de informatiesystemen
verwerking bij de Privacycommissie melden.
Schengen, Eurodac en de douane, en anderzijds de activiteiten van Europol. Het tweede niveau betreft door de Privacycommissie zelf
De verantwoordelijken voor de verwerking hebben in 2013 6 047
geïnitieerde controles. Deze controles zijn in te delen in drie types:
aangiftedossiers ingediend via het e-loket, dit betekent een daling
permanente controles bij Child Focus en het Informatie- en Advies-
met 18% ten opzichte van het aantal aangiftedossiers ingediend in
centrum inzake schadelijke sektarische organisaties, thematische
2012.
controles bij de politie- en inlichtingendiensten waaronder dossiers inzake onrechtstreekse toegang (onder artikel 13 van de Privacywet)
Er zijn 5 252 nieuwe gegevensverwerkingen gemeld met de volgende
vallen en punctuele controles, die steeds gericht zijn op een speci-
aangifteformulieren:
fieke verantwoordelijke voor de verwerking. In totaal zijn 211 controledossiers opgestart.
8.2.2 Kennisgeving gebruik mobiele camera door politiediensten
••
een gewone aangifte (23%);
••
een VIA/DPR-aangifte (3 %);
••
een aangifte voor een latere verwerking (1%);
••
een thematische aangifte voor plaatsing en gebruik van een bewakingscamera (73%).
Wanneer een officier van bestuurlijke politie beslist om mobiele camera’s te gebruiken, dan moet die sinds december 2009 de Privacy-
Wijzigingen en beëindigingen van gegevensverwerkingen worden
commissie hiervan in kennis stellen aan de hand van een specifiek
eveneens gemeld. In 2013 zijn 436 meldingen van wijzigingen/correc-
elektronisch formulier. In 2013 heeft de Privacycommissie 85 kennis-
ties aan bestaande gegevensverwerkingen geregistreerd, en 359
gevingen ontvangen. De politiediensten zette vooral mobiele came-
meldingen van beëindigingen.
ra’s in tijdens 53 sportmanifestaties, veelal voetbalwedstrijden.
8.3 Informatie, klachtafhandeling en bijstand in uitoefening rechten en plichten
De voornaamste doeleinden van de gemelde gegevensverwerkingen zijn: 3150 keer “bewaking en toezicht”, aangevuld met 635 keer “bewaking en toezicht ten overstaan van tewerkgestelden op een bewaakte arbeidsplaats”, 496 keer “algemene doeleinden”, 100 keer “handel” en 539 keer “andere doeleinden”.
De informatieopdracht van de Privacycommissie vormt een derde pijler, die zich zowel tot overheidsinstanties richt als tot verantwoor-
8.3.3 Kerndossiers
delijken voor de verwerking en datasubjecten (de personen wier gegevens het voorwerp uitmaken van een verwerking). De voor-
De kerndossiers omvatten naast informatiedossiers ook controle- en
naamste informatietaken zijn het openbaar register houden en het
bemiddelingsdossiers.
publiek informeren. De informatietaak kan zowel individueel gericht
54
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
De Privacycommissie heeft in 2013 3532 vragen om informatie of
Van de 2896 vragen om informatie of bemiddeling in 2013 werd in
bemiddeling (inclusief controledossiers) ontvangen. Deze dossiers
58,52% van de gevallen deze vraag in het Nederlands gesteld. In
kunnen als volgt ingedeeld worden: 2 871 informatievragen van zowel
39,01% werd de vraag in het Frans gesteld.
overheidsinstanties en huidige of toekomstige dataverwerkers als datasubjecten, 450 vragen om bemiddeling en 211 controledossiers.
Begin januari 2013 kwam een gegevenslek bij de NMBS aan het licht. Dit gegevenslek gaf aanleiding tot een vloedgolf van vragen en
Van de 3 532 ontvangen kerndossiers zijn er 11 voorgelegd ter
klachten. De vragen om informatie, 2 304 in totaal, werden in 1 infor-
bespreking aan het Sectoraal comité van het Rijksregister, 7 dossiers
matiedossier behandeld. De Privacycommissie ontving daarnaast ook
kwamen op zitting van de Privacycommissie.
44 klachten in verband met dit gegevenslek.
Vóór de Privacycommissie overgaat tot bemiddeling of informatie-
8.3.4 Klachten
verstrekking, wordt steeds een ontvankelijkheidsanalyse uitgevoerd. Voor 222 dossiers bleek de aanvraag tot bemiddeling of informatie
De Privacycommissie heeft 450 klachten ontvangen in 2013. Dit is
onontvankelijk, veelal wegens het ontbreken van voldoende infor-
een stijging met 48,5% ten opzichte van het aantal klachten in 2012
matie vanwege het datasubject (214 dossiers).
(303).
192 vragen, of 5,4%, werden verkeerdelijk aan de Privacycommissie
De klachten betroffen voornamelijk volgende domeinen:
gericht, waarbij steeds is getracht om de aanvrager door te verwijzen naar de bevoegde instelling. In circa 78% van de gevallen is de Priva-
••
cycommissie hierin geslaagd.
privacybeginselen (27,6%): worden er niet te veel gegevens verwerkt om een bepaald doeleinde te verwezenlijken? (proportionaliteit); worden de gegevens gebruikt voor een ander dan het oorspronkelijk
In 84% van de behandelde informatievragen is privacygerelateerde
vooropgestelde doeleinde (finaliteit)?; heeft de betrokken persoon
informatie verstrekt.
voldoende informatie gekregen over de verwerking van zijn gegevens (transparantie), enz.;
De top vijf van de meest bevraagde thema’s is: de privacybeginselen
••
registratie van wanbetalers bij de Centrale voor Kredieten aan
(21,04%), verwerking van beelden (18,74%) waarbij “camerabewa-
Particulieren van de Nationale Bank (ook wel “negatief luik krediet”
king” een belangrijk item vormt, “openbare overheden en privacy”
genoemd) (13,6%): wie een hypothecaire lening niet afbetaalt zoals
(8,92%), handelspraktijken, waarbij voornamelijk marketingtoepas-
het hoort, komt in dit bestand terecht. De Privacycommissie behan-
singen bevraagd zijn (8,89%) en arbeid (8,52%).
delt vragen van particulieren die in het bestand geregistreerd staan, wat soms ten onrechte zo is: een bank zou bijvoorbeeld kunnen
In 90% van de in 2013 afgesloten dossiers zijn behandeld binnen een
vergeten door te geven dat de betaalachterstand intussen veref-
termijn van 3 maanden.
fend is; ••
De Privacycommissie kreeg voornamelijk verzoeken inzake verwer-
met zijn bewakingscamera? Ik word gefilmd in het zwembad, kan
kingen van identificatiegegevens (44,22% van de dossiers), beeld- en geluidsopnamen (22,17%), financiële bijzonderheden (8,92%), elek-
bewakingscamera’s (12,4%): mag mijn buur mijn eigendom filmen dit?, enz.;
••
tronische identificatiegegevens (8,55%) en gerechtelijke en geheime
direct marketing (5,1%): mag een bedrijf mijn gegevens gebruiken voor commerciële doeleinden? De uitschrijflink onderaan een recla-
gegevens (7,28%).
memail werkt niet, enz.; ••
internet (4,0%): blogs, sociale netwerken, datingsites, …
Om een antwoord te kunnen bieden op de gestelde vraag is steeds vertrokken van een wetgevend kader. De Privacywet was veelal de
346 (76,9%) klachten werden reeds in 2013 afgehandeld. Volgende
basis voor het antwoord, met als meest gebruikte artikelen: artikelen
cijfers hebben betrekking op deze afgesloten dossiers. In 72,6%
9-10-12 over de rechten van het datasubject (24,15%), artikel 4 over
van de dossiers met betrekking tot een klacht werd een privacyin-
de rechtmatigheid van een verwerking (20,47%) en artikel 5 over de
breuk vastgesteld, 17,3% betrof ongegronde klachten. 4,1% van
voorwaarden van een verwerking (15,86%). Naast de Privacywet was
de klachten bleek onontvankelijk, in 2,0% van de gevallen werd de
de camerawetgeving in 14,35% van de dossiers het richtinggevend
klachtbehandeling stopgezet. In 3,5% van de gevallen werd de klacht
wettelijk kader.
verkeerdelijk tot de Privacycommissie gericht.
De vragen worden meestal gesteld vanuit een handhavings- (20,58%),
De Privacycommissie heeft ook 117 indirecte controles verricht.
een profit- (19,27%) of een arbeidsrelatie (11,88%) tussen de verant-
98,3% van deze dossiers heeft betrekking op het domein politie.
woordelijke van de verwerking en het datasubject.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
55
8.4 Beslissingsdossiers Privacycommissie 2013 in cijfers 8.4.1 Globale analyse beslissingsdossiers Privacyommissie 2013
Trimester
A-dossier IN
A-dossier OUT
% afgesloten
A-dossier open
A-dossier <2013 OUT
A-dossier totaal OUT
01.2013 - 03.2013
15
15
100,00
0
1
16
04.2013 - 06.2013
16
16
100,00
0
6
22
07.2013 - 09.2013
20
18
90,00
2
0
18
10.2013 - 12.2013
18
13
72,22
5
2
15
globaal
69
62
89,86
7
9
71
Trimester
AR-dossier IN
AR-dossier OUT
% afgesloten
AR-dossier open
AR-dossier <2013 OUT
AR-dossier totaal OUT
01.2013 - 03.2013
2
2
100,00
0
0
2
04.2013 - 06.2013
2
1
50,00
1
1
2
07.2013 - 09.2013
0
0
nvt
0
1
1
10.2013 - 12.2013
0
0
nvt
0
2
2
globaal
4
3
75,00
1
4
7
Trimester
EVAL-dossier IN
EVAL-dossier OUT
% afgesloten
EVAL-dossier open
EVAL-dossier <2013 OUT
EVAL-dossier totaal OUT
01.2013 - 03.2013
4
4
100,00
0
4
8
04.2013 - 06.2013
0
0
nvt
0
2
2
07.2013 - 09.2013
15
15
100,00
0
0
15
10.2013 - 12.2013
3
2
66,67
1
0
2
globaal
22
21
95,45
1
6
27
Trimester
LV-dossier IN
LV-dossier OUT
% afgesloten
LV-dossier open
LV-dossier <2013 OUT
LV-dossier totaal OUT
01.2013 - 03.2013
3
3
100,00
0
0
3
04.2013 - 06.2013
2
2
100,00
0
0
2
07.2013 - 09.2013
5
5
100,00
0
0
5
10.2013 - 12.2013
1
1
100,00
0
0
1
globaal
11
11
100,00
0
0
11
56
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
CO NL
Beslissingsdossiers 2013 per type 80 70
69
71 62
Aantal
60 50 40 20
7
10 0
27
22 21
30 4
A-dossier
3
1
11 11
7
1
AR-dossier
CO-IN
CO-OUT
11 0
EVAL-dossier CO-OPEN
LV-dossier
Totaal CO-OUT
8.4.2 Analyse per type geopende adviesdossiers 2013 Trimester
Op aanvraag
Op eigen initiatief
Formele klacht
Totaal
01.2013 - 03.2013
14
0
1
15
04.2013 - 06.2013
16
0
0
16
07.2013 - 09.2013
19
1
0
20
10.2013 - 12.2013
18
0
0
18
globaal
67
1
1
69
8.4.3 Behandelingstermijn termijngebonden beslissingsdossiers 2013 8.4.3.1 Adviesdossiers op aanvraag
Behandelingstermijn
Afgesloten dossiers* (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
≤ 2 mnd
59
90,8
6
100,00
> 2 mnd
6
9,2
0
0,00
behandeling stopgezet/ onontvankelijk
5
nvt
nvt
nvt
globaal
70
100,00
6
100,00
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
57
8.4.3.2 Adviesdossiers formele klacht Behandelingstermijn
Afgesloten dossiers* (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
≤ 3 mnd
1
100,00
0
nvt
> 3 mnd
0
0,00
0
nvt
behandeling stopgezet/ onontvankelijk
0
nvt
nvt
nvt
globaal
1
100,00
0
nvt
Afgesloten dossiers* (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
8.4.3.3 LV-dossiers Behandelingstermijn ≤ 45 d
11
100,00
0
nvt
> 45 d
0
0,00
0
nvt
behandeling stopgezet/ onontvankelijk
0
nvt
nvt
nvt
globaal
0
0
nvt
0
8.4.3.4 Adviesdossiers op eigen initiatief Voor deze dossiers is er, net als voor aanbevelingdossiers, geen behandelingstermijn bepaald. Er werd in 2013 1 adviesdossier op eigen initiatief geopend. Dit dossier is nog steeds in behandeling.
8.4.4 Gevolg verleend aan de afgesloten beslissingsdossiers 2013 Dossiertype A-dossiers
Gevolg
Aantal
% / dossiertype
gunstig
15
21,13
gunstig met voorwaarden
39
54,93
ongunstig
6
8,45
gedeeltelijk gunstig
4
5,63
standpunt geformuleerd
2
2,82
behandeling stopgezet
5
7,04
standpunt geformuleerd
3
42,86
behandeling stopgezet
4
57,14
EVAL-dossiers
standpunt geformuleerd
27
100,00
LV-dossiers
gunstig
8
72,73
gunstig met voorwaarden
3
27,27
AR-dossiers
58
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
8.5 Kerndossiers Privacycommissie 2013 in cijfers 8.5.1 Globale analyse kerndossiers Privacycommissie 2013 Trimester
DOS-dossier IN
DOS-dossier OUT
% afgesloten
DOS-dossier open
01.2013 - 03.2013
994
928
93,36
66
informatie
761
721
94,74
40
bemiddeling
178
160
89,89
18
controle
55
47
85,45
8
04.2013 - 06.2013
846
779
92,08
67
informatie
679
643
94,70
36
bemiddeling
114
91
79,82
23
controle
53
45
84,91
8
07.2013 - 09.2013
798
718
89,97
80
informatie
669
615
91,93
54
bemiddeling
88
72
81,82
16
controle
41
31
75,61
10
10.2013 - 12.2013
894
603
67,45
291
informatie
762
572
75,07
190
bemiddeling
70
23
32,86
47
controle
62
8
12,90
54
globaal
3.532
3.028
85,73
504
informatie
2.871
2.551
88,85
320
bemiddeling
450
346
76,89
104
controle
211
131
62,09
80
Kerndossiers zijn vragen of klachten over de toepassing van de privacywetgeving waarbij de Privacycommissie een standpunt inneemt. Ze worden onderverdeeld in drie categorieën: * informatiedossiers: dossiers waarin een vraag wordt beantwoord zonder contactname met derde partijen; * bemiddlingsdossiers: klachtendossiers; * controledossiers: dossiers waarin de Privacycommissie een controle of inspectie uitvoert.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
59
DOS NL
Aantal
Kerndossiers Privacycommissie 2013 per type 3532
4000 3500 3000 2500 2000 1500 1000 500 0
3028
2871
504
globaal
2551
informatie
DOS-dossier IN
450 346
320
211 131 80
104
bemiddeling
DOS-dossier OUT
controle
DOS-dossier open
8.5.2 Behandelingstermijn kerndossiers Privacycommissie 2013
Top 5 meest voorkomende domeinen
Behandelingstermijn
Afgesloten dossiers
aantal ≤ 30 d 31-60 d 61-90 d
314 ≤ 3 mnd
301
91-180 d
315
662
Dossiers in behandeling
%
aantal
2.150
71,00
87
17,26
387
12,78
101
20,04
187
6,18
92
18,25
89,96
280
55,56
7,30
84
16,67
2.724 221
1197
Overige
181-270 d
60
1,98
Privacybeginselen 70 13,89
271-365 d
23
0,76
70
> 3 mnd
304
10,04
224
3.028
100,00
totaal
13,89 Beeldverwerking
Overheid 504
743 Privacycommissie 2013 8.5.3 Gevolg verleend aan de afgesloten kerndossiers Gevolg informatiedossiers informatie verstrekt dossier onontvankelijk
Aantal
rechten niet uitgeoefend Privacycommissie onbevoegd
Arbeid
7,02 6,94
0
0,00
2
geen doorverwijzing
60
Handelspraktijken
177
179
doorverwijzing 40
100,00
84,40
179
gerechtelijke procedure
44,44
Percentage
2.153
niet vereiste informatie
behandeling stopgezet
%
0,08 7,02
139
5,45
40
1,57 1,57
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Gevolg bemiddelingsdossiers geen privacyinbreuk
Aantal
Percentage
60
geen registratie
17,34 1
0,29
geen privacyinbreuk
42
12,14
behoud registratie
17
4,91
privacyinbreuk
253
gehele schrapping registratie
72,55 30
8,67
gedeeltelijke schrapping registratie
0
0,00
correctie registratie
4
1,16
minnelijke schikking
217
62,72
2
0,58
geen minnelijke schikking dossier onontvankelijk
14
4,05
niet vereiste informatie
14
4,05
gerechtelijke procedure
0
0,00
rechten niet uitgeoefend Privacycommissie onbevoegd
0 12
doorverwijzing
0,00 3,47
10
geen doorverwijzing behandeling stopgezet
2 7
Gevolg controledossiers
1
geen privacyinbreuk
41
geen registratie geen privacyinbreuk behoud registratie
0,58 2,02
Aantal
informatie verstrekt
privacyinbreuk
2,89
Percentage 0,76 31,30 21
16,03
2
1,53
18 58
13,74 43,51
gehele schrapping registratie
38
29,01
gedeeltelijke schrapping registratie
14
10,69
correctie registratie
1
0,76
minnelijke schikking
4
3,05
geen minnelijke schikking
1
0,76
dossier onontvankelijk
29
22,14
niet vereiste informatie
23
17,56
gerechtelijke procedure
0
0,00
rechten niet uitgeoefend
6
4,58
Privacycommissie onbevoegd
1
doorverwijzing geen doorverwijzing behandeling stopgezet
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
0,76 1
0,76
0 1
0,00 0,76
61
8.5.4 Inhoudelijke analyse van de ontvangen kerndossiers Privacycommissie 2013 Karakteristieken kerndossiers
Aantal
%
Nederlands
2.067
58,52
Frans
1.378
39,01
Engels
77
2,18
Duits
10
0,28
Taal
Behandelingsniveau Commissie
7
0,20
3.514
99,49
frontoffice
2.987
84,57
backoffice
527
14,92
11
0,31
1
0,03
10
0,28
intern
2.952
83,58
extern
580
16,42
Secretariaat Commissie
Sectoraal Comité voor de Federale Overheid van het Rijksregister Activiteit
Gemiddeld aantal inkomende en uitgaande dossierstukken
3,54
8.5.4.1 Domeinen en subdomeinen van de kerndossiers Domein - Subdomein
Aantal
% (in domein)
244
6,91
algemeen
36
1,02
14,75
bloggen - sociale netwerken
52
1,47
21,31
cookies
4
0,11
1,64
Telecommunicatie
digitale tv
1
0,03
0,41
114
3,23
46,72
nieuwe technologieën
8
0,23
3,28
zoekmotoren
29
0,82
11,89
315
8,92
algemeen
31
0,88
9,84
bevolkingsregisters
43
1,22
13,65
DIV
11
0,31
3,49
e-gov
8
0,23
2,54
eID
42
1,19
13,33
fiscus
7
0,20
2,22
identificatiemiddelen
12
0,34
3,81
machtigingen
40
1,13
12,70
opdracht gerechtelijke of bestuurlijke politie
1
0,03
0,32
openbaarheid van bestuur
5
0,14
1,59
regionale en lokale besturen
31
0,88
9,84
internet
Overheid
62
% (globaal)
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
Domein - Subdomein
Aantal
% (globaal)
% (in domein)
Rijksregister
82
2,32
26,03
Visa
2
0,06
0,63
13
0,37
algemeen
1
0,03
7,69
justitie
8
0,23
61,54
parket
2
0,06
15,38
rechtspraak
2
0,06
15,38
231
6,54
algemeen
2
0,06
0,87
Comité P & I
1
0,03
0,43
Justitie
Politie-inlichtingen
inlichtingendiensten politie strafregister terrorismebestrijding
5
0,14
2,16
217
6,14
93,94
5
0,14
2,16
1
0,03
0,43
Onderwijs
32
0,91
100,00
Arbeid
301
8,52
algemeen
4
0,11
1,33
cameratoezicht
7
0,20
2,33
gegevens werknemers
138
3,91
45,85
geolocalisatie
58
1,64
19,27
identificatiemiddelen
22
0,62
7,31
rekrutering
15
0,42
4,98
telecommunicatie
40
1,13
13,29
vakbonden
1
0,03
0,33
welzijn op het werk
4
0,11
1,33
whistleblowing
12
0,34
3,99
Sociale zekerheid
8
0,23
100,00
Mede-eigendom
17
0,48
9
0,25
52,94 47,06
mede-eigendom syndicus
8
0,23
59
1,67
algemeen
19
0,54
beroepsgeheim
4
0,11
6,78
databanken
6
0,17
10,17
eHealth
1
0,03
1,69
machtiging
6
0,17
10,17
patiëntendossier
23
0,65
38,98
662
18,74
5
0,14
0,76
503
14,24
75,98
Google Street View
12
0,34
1,81
recht op afbeelding
139
3,94
21,00
3
0,08
0,45
Verwerking van gezondheidsgegevens
Beeldverwerking algemeen bewakingscamera's
webcasting
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
32,20
63
Domein - Subdomein
Aantal
% (in domein)
22
0,62
algemeen
2
0,06
archivering
1
0,03
4,55
audiovisuele pers
3
0,08
13,64
elektronische pers
13
0,37
59,09 13,64
Pers en media
gedrukte pers
9,09
3
0,08
261
7,39
algemeen
7
0,2
2,68
bank / verzekeringen
49
1,39
18,77
bescherming consumenten
2
0,06
0,77
compliance
1
0,03
0,38
faillissementen
2
0,06
0,77
financiën
4
0,11
1,53
Economie
gerechterlijk akkoord
3
0,08
1,15
negatief luik krediet
175
4,95
67,05
positief luik krediet
18
0,51
6,90
314
8,89
4
0,11
1,27
Handelspraktijken algemeen direct marketing
159
4,50
50,64
getrouwheidskaart
2
0,06
0,64
handel in persoonsgegevens
8
0,23
2,55
identificatiemiddelen
18
0,51
5,73
marketing
39
1,10
12,42
personenlijsten
50
1,42
15,92
phishing
2
0,06
0,64
politieke propaganda
9
0,25
2,87
spam
23
0,65
7,32
23
0,65
algemeen
22
0,62
95,65
privacy by design
1
0,03
4,35
29
0,82
algemeen
1
0,03
3,45
genealogie
1
0,03
3,45
historisch onderzoek
2
0,06
6,90
statistieken
7
0,20
24,14
wetenschappelijk onderzoek
18
0,51
62,07
4
0,11
3
0,08
75,00 25,00
Informatiebeveiliging
Historisch, statistisch en wetenschappelijk onderzoek
Archieven overheidsarchieven privé-archieven
1
0,03
131
3,71
algemeen
4
0,11
3,05
BCR
15
0,42
11,45
Internationale fluxen
64
% (globaal)
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
Aantal
3028
3500 3000 2500 2000 1500 1000 500 0
2871
2551
504
deel 1
450 346
320
Domein - Subdomein
globaal
contractuele clauses
safe harbourinformatie
Internationale gegevensbescherming
DOS-dossier IN
Privacybeginselen
Aantal
104
211 131 80
% (globaal)
111
3,14
bemiddeling 1
DOS-dossier OUT
controle 0,03
84,73 0,76
13
0,37
100,00
743
21,04
100,00
110
3,11
100,00
DOS-dossier open
Andere of niet bepaald
% (in domein)
Top 5 meest voorkomende domeinen
314
301 1197
315
Overige Privacybeginselen Beeldverwerking Overheid
662
Handelspraktijken
743
Arbeid
Top 5 meest voorkomende subdomeinen 175
159 139
217
Overige Bewakingscamera's
503 2339
Politie Negatief luik krediet Direct marketing Recht op afbeelding
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
65
8.5.4.2 Gegevenstype behandeld in de kerndossiers (top 5) Gegevenstype
Aantal
Identificatiegegevens
% / # dossiers
% / # types
1.562
44,22
40,33
Beeld- en geluidsopnamen
783
22,17
20,22
Financiële bijzonderheden
315
8,92
8,13
Elektronische identificatiegegevens
302
8,55
7,80
Gerechtelijke en geheime gegevens
257
7,28
6,64
8.5.4.3 Behandelde wetgeving in de kerndossiers (top 5) Wetgeving
Aantal
Privacywet artikel 9-10-12 (rechten datasubject)
% / # dossiers
853
% / # types
24,15
18,26
Privacywet artikel 4 (rechtmatigheid verwerking)
723
20,47
15,48
Privacywet artikel 5 (voorwaarden verwerking)
560
15,86
11,99
Camerawetgeving
507
14,35
10,85
Andere privacywetgeving
210
5,95
4,50
8.5.4.4 Relatie verantwoordelijke voor de verwerking & datasubject (top 5) Verwerkingsrelatie
Aantal
%
Profit relatie
789
22,34
Handhavingsrelatie
694
19,65
Arbeidsrelatie
434
12,29
Overheidsrelatie
341
9,65
Non-profit relatie
332
9,40
8.6 Vraag en Antwoord dossiers Privacycommissie 2013 in cijfers 8.6.1 Globale analyse Q&A-dossiers Privacycommissie 2013 Trimester
Dossier IN
Dossier OUT
% afgesloten
Dossier OPEN
01.2013 - 03.2013
480
480
100,00%
0
04.2013 - 06.2013
802
802
100,00%
0
07.2013 - 09.2013
728
728
100,00%
0
10.2013 - 12.2013
858
858
100,00%
0
globaal
2868
2868
100,00%
0
De Commissie behandelde in 2013 naast de voormelde 2868 vraag en antwoorddossiers ook 98 persdossiers.
66
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
8.6.2 Inhoudelijke analyse van de ontvangen Front Office-dossiers (FO-dossiers) 2013 8.6.2.1 Domeinen en subdomeinen van de FO-dossiers (top 5) Domein - Subdomein Beeldverwerking algemeen bewakingscamera's Google Street View recht op afbeelding
Aantal 467
% (globaal)
% (in domein)
16,28
10
0,35
2,14
426
14,85
91,22
1
0,03
0,21 6,42
30
1,05
Privacybeginselen
233
8,12
Arbeid
157
5,47
4
0,14
2,55
35
1,22
22,29
gegevens werknemers
35
1,22
22,29
geolocalisatie
33
1,15
21,02
8
0,28
5,10
rekrutering
10
0,35
6,37
telecommunicatie
18
0,63
11,46 8,92
algemeen cameratoezicht
identificatiemiddelen
whistleblowing
14
0,49
96
3,35
11
0,04
11,46
bescherming consumenten
1
0,03
1,04
financiën
1
0,03
1,04
negatief luik krediet
79
2,75
82,29
positief luik krediet
3
0,10
3,13
witwaswet
1
0,03
1,04
Economie bank/verzekeringen
Overheid
64
2,24
algemeen
6
0,21
9,38
bevolkingsregisters
7
0,24
10,94
DIV
3
0,10
4,69
eID
6
0,21
9,38
identificatiemiddelen
1
0,03
1,56
15
0,52
23,44
1
0,03
1,56
5
0,17
7,81
20
0,70
31,25
machtigingen openbaarheid van bestuur regionale en lokale besturen Rijksregister
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
67
8.6.2.2 Behandelde wetgeving door de FO-dossiers (top 5) Wetgeving
Aantal
% / # dossiers
Camerawetgeving
525
18,31
Privacywet artikel 17-18-19-20 (aangifte)
405
14,12
Privacywet artikel 9-10-12 (rechten datasubject)
164
5,72
Kredietwetgeving
105
3,66
90
4,82
Privacywet artikel 4 (rechtmatigheid verwerking)
8.6.2.3 Relatie verantwoordelijke voor de verwerking & datasubject (top 5) Verwerkingsrelatie
Aantal
% / # dossiers
Handhavingsrelatie
631
22,00
Profit relatie
179
6,24
Arbeidsrelatie
175
6,10
Overheidsrelatie
80
2,79
Niet gekend
64
2,23
68
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
8.7 Aangifte- en kennisgevingsdossiers 2013 in cijfers 8.7.1 Globale analyse aangiftes en verwerkingen Nieuwe verwerkingen
Wijziging van verwerking
Correctie van verwerking
Beëindiging van verwerking
Totaal aantal verwerkingen
01.2013- 03.2013
1 352
93
11
70
1 526
04.2013 - 06.2013
1 213
42
8
41
1 304
07.2013 - 09.2013
1 537
117
20
79
1 753
10.2013 - 12.2013
1 150
95
50
169
1 464
5 252
347
89
359
6047
Nieuwe verwerkingen
Gewone aangifte
VIA/DPR-aangifte
Aangifte latere verwerking
Thematische aangifte
01.2013- 03.2013
1 352
403
53
6
04.2013 - 06.2013
1 213
292
19
10
892
07.2013 - 09.2013
1 537
279
44
11
1 203
10.2013 - 12.2013
1 150
263
50
7
830
5 252
1 237
166
34
3815
Trimester
globaal
8.7.2 Meldingen van nieuwe gegevensverwerkingen Trimester
globaal
890
Gewone aangifte: melding van een verwerking van persoonsgegevens (bijvoorbeeld het aanleggen van een klantenbestand voor commerciële doeleinden). VIA/DPR-aangifte: een gestandaardiseerde aangifte voor een grote groep verantwoordelijke voor de verwerking.
eloket NL
Aangifte latere verwerking: melding van het hergebruik van persoonsgegevens voor wetenschappelijk onderzoek. Thematische aangifte: meldingen van het gebruik van bewakingscamera's.
Nieuwe gegevensverwerkingen per aangiftetype 23% 3% 1%
Gewone aangifte VIA/DPR-aangifte Aangifte latere verwerking
73%
Thematische aangifte
Voornaamste doeleinden voor
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
69
8.7.3 Verwerkingen per doeleinde
Doeleinde
eloket NL Algemene doeleinden
Aantal aangiften 496
Doeleinden van de overheid
19
Bewaking en toezicht op de arbeidsplaats
635
Nieuwe gegevensverwerkingen per aangiftetype
Justitie en politie Bewaking en toezicht Onderwijs
46 3 150 3
Cultuur en welzijn
15
Sociale zekerheid
1
Gezondheidszorg
40
Primair of secundair wetenschappelijk onderzoek
23%
89
Bank- en kredietwezen, verzekeringen
3%
Handel
1%
Latere verwerking Andere doelen
Gewone aangifte VIA/DPR-aangifte
45 100 34
539 Aangifte latere verwerking
73%
Thematische aangifte
Voornaamste doeleinden voor gegevensverwerking (top 5) Bewaking en toezicht 10%
2% 6%
Bewaking en toezicht op de arbeidsplaats
10% 12%
60%
Andere doelen Algemene doeleinden Handel Overige
70
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 1
8.7.4 Kennisgeving gebruik mobiele camera door de politiediensten Trimester
Globaal
Sportmanifestatie
Betoging
Evenement Feestelijkheden
Culturele manifestaties
Oproer
Andere
01.2013- 03.2013
15
12
2
1
0
0
0
04.2013 - 06.2013
25
10
3
6
1
2
3
07.2013 - 09.2013
26
17
1
8
0
0
0
10.2013 - 12.2013
19
14
3
2
0
0
0
Globaal
85
53
9
17
1
2
3
Volgens de camerawet mogen de politiediensten mobiele bewakingscamera’s inzetten bij grote volkstoelopen. Het gebruik van deze camera’s moeten ze melden bij de Privacycommissie.
Kennisgeving mobiele camera politiediensten 30
26
25
Aantal
25
19
20
15
15 10 5 0
01.2013- 03.2013 04.2013 - 06.2013 07.2013 - 09.2013 10.2013 - 12.2013
Identificatie volkstoeloop Sportmanifestatie
1% 2% 4%
Betoging
20%
11%
62%
Evenement Feestelijkheden Culturele manifestaties Oproer Andere
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
71
Deel 2
De sectorale comités
deel 2
1
De sectorale comités in een notendop
De Privacycommissie telt momenteel zes sectorale comités. Deze comités zijn bevoegd voor gegevensverwerkingen die worden uitgevoerd in specifieke sectoren. Ze bestaan over het algemeen voor de helft uit leden van de Privacycommissie en voor de andere helft uit deskundigen vertrouwd met de sector. Meer informatie over de sectorale comités is beschikbaar op de website http://www.privacycommission.be/nl in de rubriek “Over CBPL > Overzicht van de sectorale comités”.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
75
2
Belangrijkste activiteiten van de sectorale comités
De voornaamste documenten gepubliceerd door de sectorale comités in 2013 zijn hieronder per comité bij elkaar gezet.
2.1 Privacycommissie loco Statistisch Toezichtscomité
statistische doeleinden werden toegekend aan ondernemingen. Een waarschuwing zal erop wijzen dat deze informatie enkel voor statistische doeleinden mag gebruikt worden en dat een onderneming die
2.1.1 Beraadslaging STAT nr. 27/2013 van 6 november 2013 •
Openbaarmaking van de NACE-codes door de Algemene Directie voor Statistiek en Economische Informatie (ADSEI)
Op 6 november 2013 heeft de Privacycommissie beslist dat de codes
de code die haar werd toegekend betwist haar standpunt kan verdedigen bij het INR.
2.2 Sectoraal comité van het Rijksregister 2.2.1 Overzicht principebeslissingen
van bedrijfsactiviteit (NACE) geen persoonsgegevens vormen, en dat deze codes niet opgevat zijn als vertrouwelijke gegevens die onder-
Op verzoek van mevr. Mireille Salmon, voorzitter van het Sectoraal
worpen zijn aan de statistische geheimhouding.
comité van het Rijksregister, werd een overzicht van de principes opgemaakt die worden toegepast door dit comité in zijn beslissingen.
De Privacycommissie, loco het Sectoraal comité statistiek, heeft het
Het overzicht beoogt een praktisch intern werkdocument aan te
ADSEI gemachtigd om de codes van bedrijfsactiviteit (NACE) die
reiken bij de behandeling van machtigingsaanvragen bij het Secto-
werden toegekend aan de ondernemingen, openbaar te maken.
raal comité van het Rijksregister, waarbij niet alleen coherentie tussen de beraadslagingen verleend door dit comité voorop staat, maar ook
De NACE-code bestaat uit 5 cijfers die de Europese Unie en haar
maximale overeenstemming met de beslissingen van de Privacycom-
lidstaten toekennen aan economische activiteiten. De eerste vier
missie wordt nagestreefd.
cijfers worden bepaald door de Europese Unie en gelden voor alle lidstaten. Met het vijfde cijfer beschikken de lidstaten over een speel-
Bij de opmaak van dit overzicht werden alle beraadslagingen van
ruimte om zelf de classificatie van de activiteiten te specificeren, reke-
het comité in beschouwing genomen sinds de oprichting ervan op 1
ning houdend met de nationale en sectorale realiteit. De Belgische
januari 2004 tot 14 juni 2013.
variante van de NACE-code wordt eveneens aangeduid als “NACEBEL”.
Het geheel van principebeslissingen moet beschouwd worden als een solide basis om nieuwe beraadslagingen uit te werken met het oog op
Teneinde de coherentie van de statistieken per bedrijfstak te verze-
eenvormigheid in de beslissingen van het comité. Het spreekt evenwel
keren is het essentieel dat de verschillende producenten van offi-
voor zich dat het door de omvang van de reeds uitgebrachte beraad-
ciële statistieken eenzelfde code van bedrijfsactiviteit (NACE-code)
slagingen onmogelijk is volledigheid na te streven bij de inventarisatie
gebruiken voor een bepaalde statistische eenheid.
van de principiële beslissingen van het comité. Dit impliceert dat dit document permanent zal moeten worden bijgewerkt als zou worden
Daarom plegen de overheden, verenigd in het Instituut voor de Nati-
vastgesteld dat uit de huidige beraadslagingen nog bijkomende prin-
onale Rekeningen (INR), overleg om de codes van de bedrijfsacti-
cipes kunnen worden afgeleid, of als het comité nieuwe beslissingen
viteiten te harmoniseren en de in de bedrijfsregisters beschikbare
neemt in de toekomst. Door de bijzonder actieve werking van het
informatie uit te wisselen die zij gebruiken voor het opstellen van hun
comité zal het document frequent moeten worden bijgewerkt en werd
respectievelijke statistieken.
ervoor geopteerd om het als louter intern werkdocument te hanteren.
Een harmonisering zal de facto een vereenvoudiging meebrengen in de kwaliteit van de repertoria en in fine van de precisie van de officiële
Een aantal voorbeelden Het comité verleent geregeld machtigingen om een steekproef uit het Rijksregister te krijgen met het oog op wetenschappelijk of beleidsre-
openbare statistieken.
levant onderzoek. Om een zicht te hebben op het gebruik van deze
het dagelijks beheer van de uitwisselingen alsook een verbetering van
machtigingen wil het comité voortaan ter informatie een exemplaar Het zou er met andere woorden op neerkomen om, bijvoorbeeld
van het onderzoeksrapport ontvangen van de gemachtigde, nadat
via de toepassing “KBO public search” van de Kruispuntbank van
het onderzoek is afgerond (beraadslaging RR nr. 46/2013).
Ondernemingen, deze NACE-codes te mogen publiceren die voor
76
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
In de context van een machtigingsaanvraag wordt geregeld verzocht
Voor het overige gaf het comité geen gevolg aan de aanvraag voor
om een geautomatiseerde mededeling van de wijzigingen. Opdat de
toegang tot het gegeven “wettelijke samenwoning” aangezien ener-
mededeling van deze wijzigingen proportioneel zou verlopen, moet
zijds de wettelijke gelijkstelling tussen gehuwden en samenwonenden,
mededeling beperkt zijn tot de personen voor wie de gemachtigde
die de aanvrager inriep om zijn aanvraag te staven, geen algemene
over een actief dossier beschikt, wat vereist dat de gemachtigde
draagwijdte heeft, enkel een fiscale; Anderzijds werd er geen enkele
met verwijzingsrepertoria werkt. Als dit niet mogelijk is, is het aanbe-
wettelijke bepaling ingeroepen die in de sector van de aanvrager een
volen dat de gemachtigde een beroep doet op de diensten van een
dergelijke gelijkstelling bekrachtigt.
dienstenintegrator om deze proportionele mededeling te organiseren (beraadslaging RR nr. 53/2013).
2.2.3 Beraadslaging RR nr. 38/2013 van 8 mei 2013
De ICT-dienst van de FOD Justitie wilde gemachtigd worden om
•
Koninklijke Federatie van het Belgisch Notariaat (KFBN);
toegang te krijgen tot alle gegevens van het Rijksregister en het wacht-
•
Vermelding rijksregisternummer in akten.
register om toepassingen te testen, controleren en onderhouden. Het comité weigerde echter een machtiging te verlenen. Aangezien de
De KFBN vroeg het comité om de notarissen te machtigen om bij het
FOD Justitie een beroep doet op de diensten van Fedict, de federale
verlijden van een akte het identificatienummer van het Rijksregister
dienstenintegrator, volstaat het dat de FOD aan Fedict meldt welke
van natuurlijke personen te gebruiken als uniek identificatiegegeven
toepassing het voorwerp is van een test/controle/onderhoud. Fedict,
voor de bij de akte betrokken partijen. Het nummer zal uitdrukke-
die ingevolge beraadslaging RR nr. 19/2008 over een machtiging
lijk worden vermeld in de akten die zij verlijden als aanvulling op de
voor test/controle/onderhoud beschikt, zal dan conform de modali-
naam, voornamen, geboorteplaats en -datum en woonplaats, wat
teiten bepaald in deze beraadslaging de nodige maatregelen treffen
werd toegestaan bij beraadslaging van het comité van 8 mei 2013.
(beraadslaging RR nr. 55/2013). Hoewel het door de notarissen beoogde doeleinde rechtmatig is op
2.2.2 Beraadslaging RR nr. 16/2013 van 13 februari 2013
basis van het authentieke karakter van notariële akten, onderstreepte het comité dat door het identificatienummer van het Rijksregister in de authentieke akte zelf op te nemen, de notarissen voorafgaand aan
• •
Directie Huisvesting ministerie van het Brussels Hoofdstedelijk
iedere mededeling van een authentieke akte, zullen moeten verifiëren
Gewest;
of andere ontvangers dan de betrokkenen of hun rechthebbenden
Uitgebreidere toegang tot het Rijksregister.
gemachtigd zijn om het identificatienummer van het Rijksregister te gebruiken. Indien dit niet het geval is, zal de akte niet integraal kunnen
In beraadslaging nr. 16/2013 heeft het comité zich uitgesproken over
worden meegedeeld (identificatie van partijen in een uittreksel zonder
de aanvraag van de Brusselse administratie bevoegd inzake huis-
hun identificatienummer van het Rijksregister,…).
vesting om haar machtiging voor toegang tot de gegevens van het Rijksregister uit te breiden tot het gegeven “wettelijke samenwoning”
Ten slotte heeft het comité er eveneens op aangedrongen dat de
om de taken uit te voeren verbonden aan de uitbetaling van premies,
KFBN een referentiedocument zou opstellen voor informatiebeveili-
toelagen en subsidies. De aanvrager vroeg eveneens dat de hoeda-
ging door notariskantoren (verwijzing naar de wetgeving, vulgarisering
nigheid van de personen die gemachtigd zijn om het Rijksregister te
van de referentiemaatregelen van de Privacycommissie en een reeks
raadplegen niet langer beperkt zou zijn tot de ambtenaren met een
best practices) en dit permanent ter beschikking van de notarissen
graad die overeenstemt met niveau 1 bij de Rijksambtenaren.
zou stellen via een publicatie op het e-notariaat.
Het Comité kreeg hiermee de gelegenheid om te herinneren aan haar rechtspraak die stelt dat in het licht van artikel 12, § 2 van de Wet op het Rijksregister de hoedanigheid van de personen die in de praktijk gemachtigd worden om het Rijksregister te raadplegen bepaald moet worden op basis van functionele criteria, verbonden aan het doeleinde waarvoor toegang tot het Rijksregister werd verleend, en niet op basis van organieke criteria. Het zijn bijgevolg alleen de verantwoordelijken of ambtenaren die functioneel zijn belast met de taken waarvoor een machtiging voor toegang tot het Rijksregister werd verleend, die kunnen aangeduid worden om het Rijksregister te raadplegen. Het Comité beschouwde de aanvraag op dit punt dan ook als zonder voorwerp.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
77
2.2.4 Beraadslaging RR nr. 30/2013 van 17 april 2013
2.2.5 Beraadslaging RR nr. 59/2013 van 10 juli 2013
•
Gemeentelijke administratieve sancties;
•
Uitbreiding algemene machtiging ziekenhuizen;
•
Wettelijke vertegenwoordiging van persoon betrokken bij adminis-
•
Toegang tot extra informatiegegevens uit het Rijksregister voor pati-
tratieve procedure.
ëntenadministratie
De provincie Luik werd gemachtigd om toegang te krijgen tot de infor-
Bij de aanvraag die het voorwerp uitmaakte van deze beraadslaging
matie bedoeld onder artikel 1, 1e lid, 15° van het Koninklijk Besluit
werd verzocht om de bestaande algemene machtiging in hoofde van
van 16 juli 1992 tot vaststelling van de informatie die opgenomen
de ziekenhuizen uit te breiden en hun in het kader van patiënten-
wordt in de bevolkingsregisters en in het vreemdelingenregister: “de
administratie (facturering en invordering in het bijzonder) bijkomend
akten en beslissingen betreffende de bekwaamheid van de meerder-
toegang te verlenen tot het informatiegegeven “samenstelling van het
jarige en de onbekwaamheid van de minderjarige”. Dit in toepassing
gezin” uit het Rijksregister, en tot de verplichte plaats van inschrijving/
van artikel 16, eerste lid, 12° van de Rijksregister-wet, om de wetge-
het bevoegde OCMW waarvan in het wachtregister ingeschreven
ving inzake gemeentelijke administratieve boetes te kunnen uitvoeren.
personen afhangen (code 207). Daarenboven wenst de aanvrager de reeds gemachtigde historiek van wijzigingen tijdens de 6 maanden
Krachtens het Koninklijk Besluit van 27 februari 1985 waarbij aan
voorafgaand aan iedere raadpleging, voor het gegeven “hoofdverblijf-
de provinciegouverneurs en aan de bestendige deputaties van de
plaats” te verlengen tot 2 jaar.
provincieraden toegang wordt verleend tot het Rijksregister van de natuurlijke personen, hebben de provinciegouverneurs en de besten-
Het comité weigert toegang tot het informatiegegeven “samenstelling
dige deputatie reeds toegang tot het Rijksregister om de taken te
van het gezin”. Gelet op het gevoelige karakter van de gegevens die
vervullen waarvoor zij bevoegd zijn.
op de ziekenhuisfactuur kunnen voorkomen, is het niet aangewezen dat het hele gezin potentieel zicht krijgt op de zorgverstrekkingen die
Artikel 119bis, §1 van de nieuwe gemeentewet voorziet voor de
ten aanzien van een of meerdere leden van het gezin worden gefac-
gemeenten in de mogelijkheid om administratieve boetes op leggen.
tureerd en dit enkel met het oog op een mogelijk relatief beperkte kostenbesparing (1 afbetalingsplan versturen in plaats van 2 of meer).
De bestraffende ambtenaren worden meer en meer geconfron-
Dit druist bovendien in tegen het medisch beroepsgeheim.
teerd met gerechtvaardigde klachten van vermogensbeheerders die hameren op het feit dat de handelingen die raken aan het patrimo-
Het comité stelt inzake de gevraagde toegang tot code 207 van het
nium van de persoon onder voorlopige bewindvoering, zo ook de
wachtregister vast dat dit gegeven de ziekenhuizen toelaat op effi-
handelingen bij de procedure van de gemeentelijke administratieve
ciënte wijze na te gaan welk OCMW zij voor financiële tussenkomst
sancties, gericht moeten worden aan de vermogensbeheerder. Zo
kunnen aanspreken en bereidt de algemene machtiging voor de
niet is de beslissing van de bestraffende ambtenaar ongeldig (art.
ziekenhuizen dan ook uit met toegang tot dit gegeven.
448bis K van het Burgerlijk Wetboek ). Het comité is verder van oordeel dat de gevraagde historiek geduHet gegeven “de akten en beslissingen betreffende de bekwaamheid
rende 2 jaar als relevant en terzake dienend kan worden beschouwd
van de meerderjarige en de onbekwaamheid van de minderjarige”
met het oog op een efficiënte invordering van ziekenhuisfacturen.
is noodzakelijk om te kunnen bepalen of de persoon tegen wie de bestraffende ambtenaar een administratieve procedure opstart, bijge-
Daarom werd de algemene machtiging voor de ziekenhuizen
staan of wettelijk vertegenwoordigd wordt door een derde persoon
(beraadslaging RR nr. 21/2009 van 25 maart 2009) uitgebreid met
en zo ja, om de identiteit van deze wettelijke vertegenwoordiger te
een toegang tot de verplichte plaats van inschrijving, inzonderheid
kunnen bepalen.
code 207 uit het wachtregister en met een verlenging tot 2 jaar van de reeds gemachtigde historiek van wijzigingen voor het gegeven “hoofdverblijfplaats”.
78
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
2.2.6 Beraadslaging RR nr. 83/2013 van 11 december 2013
2.2.7 Beraadslaging RR nr. 84/2013 van 11 december 2013
•
Koninklijke Federatie van het Belgisch Notariaat (KFBN);
•
•
Toegang tot gegevens over afstamming en handelingsonbekwamen in bevolkings- en vreemdelingenregisters.
Voedselconsumptiepeiling 2014
Op 11 december 2013 heeft het Sectoraal comité van het Rijksregister het Wetenschappelijk Instituut Volksgezondheid gemachtigd
De KFBN heeft aan het comité de toestemming gevraagd dat zij
om toegang te krijgen tot sommige gegevens van het Rijksregister
alsook de notarissen zouden gemachtigd worden om via het Rijksre-
en om het identificatienummer ervan te gebruiken in het raam van de
gister toegang te krijgen tot de gegevens van “afstamming” en “akten
Voedselconsumptiepeiling 2014.
en beslissingen betreffende de bekwaamheid van de meerderjarige alsook betreffende de onbekwaamheid van de minderjarige”, opge-
Het geplande onderzoek is bestemd voor het inzamelen van infor-
nomen in de bevolkingsregisters van de gemeenten.
matie met betrekking tot de voedselconsumptie van de brede bevolking (in termen van voedselkwaliteit en -kwantiteit) alsook met betrek-
Deze aanvraag werd ingediend nadat het comité in zijn beraadslaging
king tot voedingsgewoonten.
65/2009 heeft aangestipt dat de CAPA-gegevensbank van de KFBN niet conform was met de privacywet.
De peiling zal gebeuren aan de hand van een mondelinge bevraging ten huize van de betrokkenen. De noodzaak om op die wijze tewerk
Het Comité heeft besloten dat de machtigingsaanvraag van de KFBN
te gaan wordt aangetoond in de aanvraag, zoals vereist door het
ontvankelijk is voor zover de notarissen enkel toegang hebben tot de
advies uit eigen beweging nr. 27/2008 van 3 september 2008 van de
gevraagde gegevens voor de taken die zij verrichten als openbaar
Privacycommissie alsook door het identiek addendum bij het “Vade-
ambtenaar van wie de taak erin bestaat een authentiek karakter te
mecum voor de onderzoeker” uitgegeven door de Privacycommissie
verlenen aan de akten (voorbereidende taken bij het opstellen van
in 2008.
die aktes inbegrepen). De adviserende rol van een notaris los van het opstellen van een authentieke akte kan op zich geen toegang tot de
De gegevens van de voedselconsumptiepeiling worden ingezameld
gevraagde gegevens rechtvaardigen.
aan de hand van interviews bij een representatief staal van de bevolking op nationaal niveau. De steekproeftrekking zal gebeuren in
Het Comité heeft tevens benadrukt dat de KFBN als intermediaire
verschillende etappes (steekproeftrekking op verschillende niveaus).
organisatie de nodige organisatorische en/of technische maatre-
Twee belangrijke technieken voor steekproeftrekking zullen worden
gelen zal moeten nemen om zich te vergewissen van het rechtmatig
toegepast: steekproeftrekking in gestratificeerde clusters en systema-
karakter van de aanvragen voor de toegang tot de gegevens en om
tische toevalssteekproeftrekking.
zich te wapenen tegen afleiding van het doeleinde. De toegang tot de voormelde gegevens en wijzigingen zullen moeten gebeuren via het
Om de gegevens op het terrein te verzamelen en de opvolging te
bijhouden van een verwijzingsrepertorium dat ervoor zorgt dat enkel
verzekeren zal aan de uitgelote personen een brief gestuurd worden
de noodzakelijke gegevens worden vrijgeven gedurende de strikt
(of aan de referentiepersonen voor de min 18-jarigen). Dit schrijven
noodzakelijke periode.
zal een uitnodiging en een informatiefolder bevatten betreffende het doeleinde en het verloop van de peiling, de benodigde tijd om deze
Ten slotte neemt de machtiging van rechtswege een einde indien de
in te vullen, het verzekeren van de vertrouwelijkheid, de opdrachtge-
KFBN niet voor uiterlijk 30 juni 2014 aan het comité heeft bevestigd
vers, enz. Er zal duidelijk worden vermeld dat de deelname vrijwillig
dat de CAPA-gegevensbank is geschrapt.
is en dat het mogelijk is de medewerking aan de peiling te allen tijde stop te zetten zonder enige rechtvaardiging. Een eventuele weigering zal geen enkel negatief gevolg hebben. De uitgelote personen die weigeren deel te nemen zullen niet opnieuw gecontacteerd worden. Een instemmingsformulier zal eveneens aan alle deelnemers gestuurd worden. De uitnodigingsbrief zal door de aanvrager verstuurd worden en niet door het Rijksregister. De aanvrager heeft een document bezorgd aan het comité waarin hij er zich toe verbindt het Vademecum van de onderzoeker na te leven. Het Comité stelt dus vast dat uit de door de aanvrager meegedeelde documenten blijkt dat hij wel degelijk van plan is om te werken
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
79
in overeenstemming met de voormelde gedragscode wat betreft:
•
hoe dan ook moet in de tekst worden verduidelijkt dat een eventuele
de face-to-face enquête; het verkrijgen van de toestemming van de
toegang voor de vzw Identifin niet ruimer kan zijn dan die van de
betrokkene; de opleiding van de interviewers; de veiligheid van de
informatieplichtigen.
persoonsgegevens; de verslagen. Toch stonden deze bemerkingen een gunstige eindbeoordeling niet
2.2.8 Advies RR nr. 01/2013 van 11 december 2013
in de weg.
•
Tijdelijke toegang tot het Rijksregister door financiële instellingen;
•
Identificatie van cliënten bij het Centraal Aanspreekpunt van de
2.2.9 Gebruikers- en toegangsbeheer in de overheidssector: raadpleging van de databank “Verantwoordelijke Toegang Entiteit”
Nationale Bank via rijksregisternummer. •
Gebruikers- en toegangsbeheer in de overheidssector;
Op 13 november 2013 verzocht de minister van Financiën het comité
•
Gebruikers uit de privésector;
om advies over een ontwerp van koninklijk besluit waarbij de Natio-
•
Erkenning databank “verantwoordelijke toegang entiteit” als authen-
nale Bank van België en de bank-, wissel-, krediet- en spaarinstel-
tieke bron.
lingen bedoeld in artikel 322 van het Wetboek van de inkomstenbelastingen (1992), gemachtigd worden tijdelijk toegang te hebben tot
E-governmenttoepassingen die zich richten op gebruikers uit de
het Rijksregister van de natuurlijke personen.
privésector dienen een gepast systeem voor gebruikers- en toegangsbeheer uit te werken. Het comité oordeelt in beraadslaging RR nr.
Artikel 322, § 3, van het Wetboek van Inkomstenbelastingen van 1992
29/2013 van 17 april 2013 en 44/2013 van 8 mei 2013 dat binnen
verplicht de bank-, wissel-, krediet- of spaarinstellingen, hierna de
een onderneming één persoon finaal toezicht moet uitoefenen op wie
informatieplichtigen, om de identiteit van hun cliënten en de nummers
binnen zijn organisatie toegang heeft tot e governmenttoepassingen .
van hun rekeningen en contracten kenbaar te maken bij het Centraal Aanspreekpunt dat bij de Nationale Bank van België wordt gehouden.
Dit systeem is in gebruik in het domein van de sociale zekerheid,
Cliënten die in België ingeschreven zijn in de bevolkingsregisters, de
de vennootschapsbelastingen en in het eHealth-platform. Voormelde
vreemdelingenregisters, het wachtregister, en de diplomatieke en
domeinen doen een beroep op een databank waarin voor elke deel-
consulaire registers, worden verplicht geïdentificeerd met hun rijks-
nemende onderneming een “verantwoordelijke toegang entiteit” (VTE)
registernummer.
geregistreerd wordt. Hiertoe wordt in de KBO eerst nagegaan wie als wettelijke vertegenwoordiger van een onderneming mag optreden,
De informatieplichtigen beschikken niet voor al hun cliënten over
en het is vervolgens deze persoon die een VTE aanduidt. De VTE
een rijksregisternummer. Het ontwerp strekte er daarom toe om de
kan volgens bepaalde regels taken en bevoegdheden toewijzen aan
informatieplichtigen gedurende een jaar toegang te verlenen tot de
personen al naargelang van de behoeften binnen zijn organisatie.
gegevens naam, voornamen, geboorteplaats en –datum in het Rijksregister, om zo de corresponderende rijksregisternummers van hun
Het comité is van oordeel dat deze VTE-databank beantwoordt aan
cliënten op te zoeken. Er werd verder in het ontwerp bepaald dat de
de functionele definitie van een authentieke bron. De beheerder van
opzoekingen in batch zouden gebeuren, en via tussenkomst van de
de VTE-databank valideert het gegeven “VTE” en biedt specifieke
vzw Identifin.
garanties ten aanzien van de juistheid, de volledigheid en de beschikbaarheid van dit gegeven. Het gegeven “VTE” wordt eenmalig gere-
De opmerkingen van het comité waren de volgende:
gistreerd en is vervolgens bruikbaar voor verschillende overheden. Het comité meent dat het inschakelen van de VTE van ondernemingen,
•
er moet in de tekst worden gepreciseerd dat er geen opzoeking
en desgevallend van andere entiteiten, de norm moet worden in
mag worden verricht wanneer een informatieplichtige niet over de
gebruikers- en toegangsbeheer voor e-governmenttoepassingen om
minimale parameters naam, voornamen, geboortedatum beschikt,
het risico op onrechtmatige toegang tot gegevens te beperken.
omdat er dan geen één-op-éénresultaat gegarandeerd is; •
het is twijfelachtig of de vzw Identifin de meest geschikte intermediaire organisatie is. Sommige openbare overheden hebben meer ervaring met een dergelijke operatie en zijn dus beter uitgerust om met de nodige precisie her rijksregisternummer op te zoeken;
80
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
2.3 Sectoraal comité voor de Federale Overheid
mies en/of -toelagen door de premieaanvragers. Aanvragen van huisvestingspremies en/of –toelagen beheren, vergt toegang tot precieze boekhoudkundige bewijsstukken en tot de noodzakelijke stukken om
2.3.1 Beraadslaging FO nr. 08/2013 van 7 maart 2013
de administratieve beslissingen ten opzichte van de betrokkenen te
•
2.3.2 Beraadslaging FO nr. 33/2013 van 21 oktober 2013
Toegang Directie Huisvesting ministerie van het Brussels Hoofdstedelijk Gewest tot gegevens FOD Financiën;
•
staven en dus tot de bruto inkomstengegevens.
Toekenning van huisvestingspremies; •
Gegevensmededeling tussen de Service Public de Wallonie (Opera-
betreffende een toegang door de Directie Huisvesting van het minis-
tioneel Directoraat-Generaal ruimtelijke ordening, wonen, erfgoed
terie van het Brussels Hoofdstedelijk Gewest tot de gegevens van
en energie, departement erfgoed) om toegang te krijgen tot gege-
de FOD Financiën voor de toekenning van huisvestingspremies en/
vens van de FOD Financiën, Algemene Administratie voor de Patri-
of – tegemoetkomingen en voor de controle op de aan de sociale verhuurkantoren toegekende subsidies
moniumdocumentatie; •
Klassering van onroerende goederen en verwerking van de gegevens van de eigenaars hiervan.
Tijdens de zitting van 7 maart 2013 heeft het comité zich uitgesproken over een aanvraag voor toegang tot inkomensgegevens en kadastrale
Op 6 augustus 2013 ontving het comité een machtigingsaanvraag
gegevens van de FOD Financiën door de Directie Huisvesting van het
van de Service Public de Wallonie, Direction Générale Opération-
ministerie van het Brussels Hoofdstedelijk Gewest.
nelle de l’Aménagement du Territoire, du Logement, du Patrimoine et de l’Énergie, Département du Patrimoine, om bepaalde gegevens
Aan de hand van de informatie van de FOD Financiën zal de Directie
te kunnen opvragen bij de FOD Financiën, Algemene Administratie
Huisvesting van het Ministerie van het Brussels Hoofdstedelijk
voor de Patrimoniumdocumentatie (AAPD).
Gewest nagaan of de aanvragers van premies en/of tegemoetkomingen (verhuistoelage en tussenkomst in de huur, premie voor
De Directie Erfgoedbescherming heeft als opdracht de klassering van
renovatie van woningen, premies voor gevelverfraaiing) de vereiste
onroerende goederen te verzekeren in het raam van een procedure
wettelijke toekenningsvoorwaarden respecteren. Zij zal in het raam
beschreven in het Waals Wetboek van Ruimtelijke Ordening, Steden-
van de controle op de aan sociale verhuurkantoren toegekende
bouw, Patrimonium en Energie (WWROSPE).
subsidies eveneens willekeurige controles uitvoeren naar de juistheid van de informatie die deze kantoren meegedeeld hebben. De Directie
In dit raam staat zij in voor:
Huisvesting zal eveneens verifiëren of de inkomsten van huurders die de sociale verhuurkantoren vermelden als lager dan het niveau
•
dat recht geeft op een sociale woning, zich wel degelijk onder dit
over te gaan, zodat alle betrokken eigenaars hun opmerkingen over
plafond bevinden indien het sociale verhuurkantoor niet in staat was het wettelijk verplichte bewijs van de inkomsten van zijn huurders te
de betekening van de beslissing om tot de klasseringsprocedure het klasseringsproject kunnen formuleren;
•
leveren.
de betekening van het klasseringsbesluit op het einde van de procedure.
Het comité heeft gunstig gereageerd op de toegangsaanvraag van
Voor klasseringsdossiers met betrekking tot een beperkt aantal
de Brusselse administratie, maar zich er wel van vergewist dat de
percelen voeren de ambtenaren van de Directie Erfgoedbescher-
beginselen van de Privacywet worden nageleefd. Zo heeft het comité
ming die toegang hebben tot de onlinegegevens van het kadaster
erover gewaakt dat enkel geplafonneerde of samengevoegde infor-
(CADNET) momenteel een manuele opzoeking uit naar de identiteit en
matie wordt verstrekt wanneer dit volstaat om te voldoen aan de
adres van de eigenaar en kopiëren zij deze gegevens om het schrijven
opdrachten van openbaar nut van de aanvrager. Verder heeft het
te versturen waarvan sprake in de voorgaande punten. Voor klasse-
comité vastgesteld dat in het raam van het doeleinde, dat erin bestaat
ringsdossiers met betrekking tot een groot aantal percelen biedt de
aan sociale verhuurkantoren toegekende subsidies te controleren,
voormelde methode evenwel geen voldoening, aangezien de manuele
enkel de inkomstengegevens in samengevoegde vorm noodzakelijk
inzameling van de identificatiegegevens van de eigenaars omslachtig
waren, m.a.w. had het betrokken gezin in het referentiejaar al dan niet
en tijdrovend is. Daarom wenst de aanvrager de kadastrale gege-
een inkomen onder het wettelijk plafond voor een sociale woning?
vens te ontvangen (rijksregisternummer, naam, voornaam, geslacht
Het comité onderstreepte dat de drie andere doeleinden waarvoor de
en adres) van de eigenaar van een perceel dat het onderwerp vormt
aanvrager toegang vroeg tot de gegevens van de FOD Financiën, in
van een klasseringsprocedure.
tegenstelling tot het doeleinde controle van aan sociale verhuurkantoren toegekende subsidies, erin bestonden controle uit te voeren
Een machtigingsaanvraag voor toegang tot de gegevens naam, voor-
op de naleving van de toekenningsvoorwaarden van huisvestingspre-
naam, geslacht en hoofdverblijfplaats alsook voor het gebruik van het
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
81
identificatienummer van het Rijksregister werd eveneens ingediend bij
invaliditeitsverzekering en de ziekenfondsen (al dan niet via het
het Sectoraal comité van het Rijksregister.
Intermutualistisch Agentschap). Naast de courante toepassing van de privacyprincipes, had het sectoraal comité bijzondere aandacht
Uit wat voorafgaat blijkt dat de beoogde doeleinden welbepaald,
voor de uitvoering van de kennisgevingsplicht en voor de koppe-
uitdrukkelijk omschreven en gerechtvaardigd zijn in de zin van artikel
lings- en coderingsprocedure.
4, § 1, 2°, Privacywet. 3. Het sectoraal comité heeft in een aantal beraadslagingen de verwer-
De beginselen van de Privacywet werden geëerbiedigd.
king van niet-gecodeerde persoonsgegevens toegestaan, rekening
2.4 Sectoraal comité van de Sociale Zekerheid en van de Gezondheid
houdend met de finaliteiten in kwestie. Het ging onder meer om volgende beraadslagingen: •
beraadslaging nr. 13/088 van 2 september 2013 met betrek-
2.4.1 Afdeling Gezondheid
king tot de mededeling van persoonsgegevens die de gezond-
eHealth Alle aanbevelingen/beraadslagingen die de afdeling Gezondheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezond-
heid in het kader van een aanvraag tot tegemoetkoming voor
heid betreffen door geneesheren aan de FOD Sociale Zekerpersonen met een handicap; •
beraadslaging nr. 13/066 van 18 juni 2013 met betrekking
heid het afgelopen jaar uitbracht in het kader van de Wet van 21
tot de mededeling van persoonsgegevens die de gezondheid
augustus 2008 houdende oprichting en organisatie van het eHealth-
betreffen door zorginstellingen aan politiediensten in het kader
platform (artikelen 5, 9, 10 en 11), kunnen worden geraadpleegd op de website van het eHealth-platform (https://www.ehealth.fgov.be/nl/
van een onrustwekkende verdwijning; •
over-ehealth/organisatie/sectoraal-comite/beraadslagingen).
beraadslaging nr. 13/009 van 22 januari 2013 met betrekking tot de uitwisseling van persoonsgegevens die de gezondheid betreffen voor een medische herevaluatie in het kader van het
Beslissingen van de afdeling Gezondheid
afsluiten van een schuldsaldoverzekering voor personen met
1. Bij beraadslaging nr. 07/03 van 9 januari 2007, laatst gewijzigd
een verhoogd gezondheidsrisico.
op 5 juli 2011, betreffende de mededeling van persoonsgegevens door verzekeringsinstellingen aan zorgverleners in het kader
4. In het kader van het hub- en metahubsysteem dat de uitwisseling
van de derdebetalersregeling, heeft het sectoraal comité beslist
nastreeft van gezondheidsgegevens tussen zorgverleners in het
dat de ziekenhuizen vanaf 31 mei 2012 slechts mededeling van
kader van de zorg voor de gezondheid van de betrokkene (goedge-
persoonsgegevens zouden krijgen voor zover zij beschikken over
keurd bij beraadslaging nr. 11/089 van 22 november 2011) hebben
een informatieveiligheidsconsulent enerzijds en een veiligheidsplan
drie hubs in 2013 een toetredingsaanvraag ter goedkeuring voor-
anderzijds. De FOD Volksgezondheid heeft de ziekenhuizen aan
gelegd aan het sectoraal comité, meer bepaald de vzw FRATEM
deze verplichting herinnerd door middel van een omzendbrief die in
(beraadslaging nr. 13/052 van 21 mei 2013), de vzw ABRUMET
november 2011 werd verzonden.
(beraadslaging nr. 13/064 van 18 juni 2013) en de vzw Collaboratief Zorgplatform Vlaanderen (beraadslaging nr. 13/012 van 19 februari
In dit kader heeft het sectoraal comité in 2013 75 adviezen
2013). De aanvragen werden getoetst aan het reglement van het
verleend betreffende de kandidatuurstelling van informatieveilig-
hub- en metahubsysteem en werden goedgekeurd.
heidsconsulenten in ziekenhuizen. De kandidaten werden geëvalueerd op basis van hun opleiding, hun eventuele overige functies
5. Er werden tevens een aantal beraadslagingen aangenomen of
binnen het betreffende ziekenhuis en de voorziene tijdsbesteding
gewijzigd over de samenstelling en de terbeschikkingstelling van
aan hun functie als informatieveiligheidsconsulent. Het sectoraal
registers van gezondheidsgegevens. Het gaat onder meer om:
comité heeft het merendeel van de kandidaten opgelegd om een specifieke opleiding te volgen inzake een of meer van de
•
beraadslaging nr. 13/091 van 17 september 2013 met betrek-
volgende onderdelen: informatica, geneeskundige informatica,
king tot de mededeling van persoonsgegevens door de labora-
informatieveiligheid en de sector van de gezondheidszorg.
toria voor pathologische anatomie en de ziekenfondsen aan de Stichting Kankerregister, met het oog op het opzetten van het
2. Het sectoraal comité heeft in 2013 de goedkeuring verleend aan de
colorectaal cyto-histopathologieregister en het gebruik ervan in
mededeling van persoonsgegevens die de gezondheid betreffen in
het kader van het bevolkingsonderzoek naar dikkedarmkanker
het kader van een groot aantal wetenschappelijke studies, onder leiding van of in samenwerking met o.a. Belgische universiteiten,
door de Vlaamse Gemeenschap; •
beraadslaging nr. 09/017 van 17 maart 2009, laatst gewijzigd
beroepsverenigingen, de Stichting Kankerregister, het Weten-
op 22 januari 2013, met betrekking tot de mededeling van
schappelijk Instituut Volksgezondheid, het Federaal Kenniscen-
gecodeerde persoonsgegevens door ziekenhuizen aan de
trum voor de Gezondheidszorg, het Rijksinstituut voor ziekte- en
federale overheidsdienst Volksgezondheid, Veiligheid van de
82
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
Voedselketen en Leefmilieu in het kader van een pilootproject inzake de registratie van spoedgevallen; •
beraadslaging nr. 13/105 van 22 oktober 2013 met betrekking tot de mededeling van gecodeerde persoonsgegevens die de gezondheid betreffen aan het Wetenschappelijk Instituut Volksgezondheid in het kader van het centraal register zeldzame ziekten.
6. Tot slot werd bij beraadslaging nr. 13/130 van 17 december 2013
Veiligheidsmaatregelen voor raadpleging van het netwerk van de sociale zekerheid via de DOLSIS-webtoepassing In haar aanbeveling nr. 12/01 van 8 mei 2012 heeft de afdeling Sociale Zekerheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid een resem veiligheidsmaatregelen vastgelegd die moeten worden gerespecteerd door de instanties die in het netwerk van de sociale zekerheid persoonsgegevens willen raadplegen met een webtoepassing genaamd DOLSIS. Zij heeft twee soorten gebruikers gedefinieerd: inspectiediensten en administratieve diensten.
de uitbreiding gemachtigd van de samenstelling van de permanente representatieve steekproef van het Intermutualistisch Agentschap,
De volgende inspectiediensten werden in 2013 gemachtigd om mits
een uitbreiding met twee variabelen over de gezinssituatie afkomstig
het naleven van de bepalingen van de hogervermelde aanbeveling
van de verzekeringsinstellingen.
via DOLSIS toegang tot het netwerk van de sociale zekerheid te bekomen: de Rijksdienst voor Sociale Zekerheid (beraadslaging nr.
2.4.2 Afdeling Sociale Zekerheid
13/011 van 5 februari 2013), de directie Controle van het Wegvervoer van de federale overheidsdienst Mobiliteit en Vervoer (beraadslaging
De volledige lijst met beraadslagingen van de afdeling Sociale Zeker-
nr. 13/018 van 5 maart 2013), de Administratie van de Bijzondere
heid van het Sectoraal comité van de Sociale Zekerheid en van de
Belastinginspectie (beraadslaging nr. 13/019 van 5 maart 2013), de
Gezondheid, is beschikbaar op volgend adres: http://www.ksz.fgov.
Veiligheid van de Staat (beraadslaging nr. 13/035 van 2 april 2013), …
be/nl/bcss/page/content/websites/belgium/security/committee_03/ committee_03_04.html. De meest belangwekkende beslissingen
De volgende administratieve diensten verkregen in 2013 via DOLSIS
worden hieronder toegelicht.
een toegang tot sommige persoonsgegevensbanken uit het netwerk van de sociale zekerheid: de directie Administratieve Geldboeten
Toegang tot de Kruispuntbankregisters De afdeling Sociale Zekerheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid heeft in 2013 opnieuw heel wat instanties toegang tot de Kruispuntbankregisters verleend. De Kruispuntbankregisters worden bijgehouden door de Kruispuntbank van de Sociale Zekerheid, bevatten uitsluitend identificatiepersoons-
van de federale overheidsdienst Werkgelegenheid, Arbeid en Sociaal
gegevens en zijn complementair en subsidiair ten opzichte van het
maatschappij en de openbare vastgoedmaatschappijen (beraadsla-
Rijksregister van de natuurlijke personen.
ging nr. 13/122 van 3 december 2013), …
De volgende instanties werden aldus gemachtigd om voor hun erkende laboratoria voor pathologische anatomie (beraadslaging nr.
Varia De afdeling Sociale Zekerheid heeft daarenboven ingestemd met verschillende mededelingen van persoonsgegevens die fraudebe-
13/002 van 15 januari 2013), , de federale overheidsdienst Buiten-
strijding tot doel hebben, zoals de mededeling van persoonsgege-
landse Zaken (beraadslaging nr. 13/039 van 2 april 2013), de Direc-
vens door de Rijksdienst voor Sociale Zekerheid en de Rijksdienst
tion Générale Opérationnelle de la Fiscalité van de Waalse over-
voor Arbeidsvoorziening aan de federale overheidsdienst Financiën
heidsdienst (beraadslaging nr. 13/071 van 2 juli 2013), de erkende
met het oog op fraudebestrijding in de bouwsector (beraadslaging
onthaalbureaus en de Huizen voor het Nederlands (beraadslaging nr.
nr. 13/084 van 3 september 2013, gewijzigd op 5 november 2013).
opdrachten toegang tot de Kruispuntbankregisters te bekomen: de
Overleg (beraadslaging nr. 13/017 van 5 maart 2013), de directie Bevordering van de Tewerkstelling van de Waalse Overheidsdienst (beraadslaging nr. 13/025 van 5 maart 2013), de Waalse dienst voor arbeidsbemiddeling en beroepsopleiding FOREM (beraadslaging nr. 13/090 van 1 oktober 2013 de Brusselse Gewestelijke Huisvestings-
13/077 van 2 juli 2013), ….
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
83
Het sectoraal comité heeft bovendien eind 2013 zijn goedkeuring
Ten slotte is de afdeling sociale zekerheid in 2013 blijven instaan voor
verleend voor informaticatechnieken voor de aangetekende verzen-
het toezicht op de werking van de diverse actoren van de sociale
ding van elektronisch ondertekende documenten. Zo kan voortaan
zekerheid, onder meer door controle op de naleving van de minimale
een dienst worden aangeboden die het mogelijk maakt om elek-
veiligheidsnormen, adviesverlening over informatieveiligheidsconsu-
tronisch ondertekende documenten – met de tussenkomst van de
lenten en de analyse van de rapporten van de diverse inspectiedien-
Kruispuntbank van de Sociale Zekerheid – aangetekend te verzenden
sten over hun raadpleging van persoonsgegevens in het netwerk van
aan burgers, werkgevers en hun mandatarissen.
de sociale zekerheid.
Verder heeft de afdeling Sociale Zekerheid zich ook in 2013 herhaaldelijk in gunstige zin uitgesproken over de medewerking van de Kruispuntbank van de Sociale Zekerheid aan wetenschappelijke onderzoeken die nuttig zijn voor de conceptie, het beheer en de kennis van de sociale zekerheid. Deze medewerking gebeurde voornamelijk voor het datawarehouse “arbeidsmarkt en sociale bescherming”, dat wordt beheerd door de Kruispuntbank van de Sociale Zekerheid en gecodeerde sociaal-economische persoonsgegevens van de diverse instellingen van sociale zekerheid bevat.
84
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
3
Activiteiten van de sectorale comités in cijfers
Binnen de Privacycommissie zijn sectorale comités ingesteld. Deze
vragen en de nog openstaande aanvragen uit 2012 hebben 331
comités zien toe op de naleving van de privacywetgeving in een
begunstigden in 2013 een positieve evaluatie ontvangen waardoor
bepaalde sector. Er zijn 6 sectorale comités: het Sectoraal comité van
ze op basis van de voorwaarden opgenomen in de algemene mach-
het Rijksregister, het Sectoraal comité van de Sociale Zekerheid en
tiging toegang hebben gekregen tot het Rijksregister van de natuur-
van de Gezondheid, het Sectoraal comité voor de Federale Overheid,
lijk personen en het identificatienummer ervan mogen gebruiken. De
het Sectoraal comité van de Kruispuntbank van Ondernemingen, het
behandeling van 10 dossiers werd stopgezet.
Sectoraal Toezichtscomité Phenix en het Statistisch Toezichtscomité. Aangezien het Statistisch Toezichtscomité in 2013 nog niet was
Van de 91 individuele machtigingsaanvragen zijn in 2013 65
samengesteld, oefende de Privacycommissie voorlopig de bevoegd-
aanvragen behandeld. Samen met de nog openstaande aanvragen
heden ervan uit.
uit 2012 hebben deze volgende resultaten opgeleverd: 81 aanvragen
3.1 Sectoraal comité voor de Federale Overheid
zijn gemachtigd om toegang te krijgen tot het Rijksregister van de natuurlijke personen en mogen het identificatienummer van het Rijksregister ervan gebruiken, voor 19 van deze aanvragers is deze machtiging wel verleend onder opschortende voorwaarden, voor 4 onder
Het Sectoraal comité voor de Federale Overheid ziet toe op de elek-
ontbindende voorwaarden. Aan 3 aanvragers werd een machtiging
tronische mededeling van persoonsgegevens binnen de Federale
voor een bepaalde duur toegekend. 2 aanvragers verkregen een
Overheid en verleent machtiging voor de elektronische mededeling
gedeeltelijke machtiging. 2 machtigingsaanvragen zijn geweigerd, bij
van persoonsgegevens door een federale overheidsdienst of door
5 werd de behandeling stopgezet.
een overheidsinstantie met rechtspersoonlijkheid die tot de Federale Overheid behoort. Het comité ontving 42 aanvragen tot individuele
In 2013 ontving en behandelde het Sectoraal comité van het Rijksre-
machtiging. Naast individuele machtigingen zijn 28 aanvragen tot
gister ook 1 adviesaanvraag.
aansluiting bij een algemene machtiging ontvangen. De 44 in 2013 behandelde individuele machtigingsdossiers hebben geresulteerd in 35 machtigingen, 3 gedeeltelijke machtigingen en in 5
3.3 Sectoraal comité van de Kruispuntbank van Ondernemingen en Sectoraal Toezichtscomité Phenix
dossiers werd de behandeling stopgezet. De 33 behandelde aansluitingen resulteerden allen in een machtiging. In 2013 zijn er 2 alge-
Noch het Sectoraal comité van de Kruispuntbank van Ondernemingen
mene machtigingsdossiers opgestart die aanleiding hebben gegeven
– dat toeziet op de veiligheid van gegevensverwerkingen binnen de
tot 2 bijkomende algemene machtigingen.
Kruispuntbank – noch het Sectoraal Toezichtscomité Phenix – dat toeziet op de veiligheid en de bescherming van gegevensverwer-
In 2013 ontving en behandelde het Sectoraal comité voor de Federale
kingen binnen de Belgische justitie – kreeg het afgelopen jaar een
Overheid ook 1 adviesaanvraag.
ontvankelijke machtigingsaanvraag.
3.2 Sectoraal comité van het Rijksregister Machtigingen verlenen voor mededeling van de gegevens van het Rijksregister en gebruik van het Rijksregisternummer behoort tot de competentie van het Sectoraal comité van het Rijksregister. In 2013 zijn 410 machtigingsaanvragen ontvangen. Een onderscheid kan gemaakt worden tussen individuele machtigingsaanvragen en algemene machtigingsaanvragen. Wanneer het sectoraal comité een individuele machtiging verleent, wordt/worden de specifieke begunstigde(n) ervan in de beraadslaging vermeld. Voor de algemene machtigingen is een systeem van aansluitingen uitgewerkt. In 2013 zijn er 3 algemene machtigingsdossier bijgekomen. Alle algemene machtigingen hebben aanleiding gegeven tot 319 aansluitingsaanvragen. Op basis van de nieuwe aansluitingsaan-
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
85
4 Dossiers behandeld door de sectorale comités in 2013 4.1 Dossier behandeld door het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid: SCSZ&G-dossiers in cijfers 4.1.1 Afdeling Gezondheid - adviezen: 36 - beraadslagingen: 39
4.1.2 Afdeling Sociale Zekerheid - adviezen: 72 - beraadslagingen: 120
86
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
4.2 Dossiers behandeld door het Sectoraal comité voor de Federale Overheid: FO-MA dossiers in cijfers 4.2.1 Globale analyse FO-MA dossiers 2013 per type FO-MA dossier IN
FO-MA dossier OUT
% afgesloten
25
17
68,00
8
4
21
aansluiting
16
8
50,00
8
4
12
algemene machtiging
0
0
nvt
0
0
0
individuele machtiging
9
9
100,00
0
0
9
16
12
75,00
4
13
25
Trimester 01.2013 - 03.2013
04.2013 - 06.2013
FO-MA dossier open
FO-MA dossier <2013 OUT
Totaal FO-MA dossier OUT
aansluiting
6
2
33,33
4
5
7
algemene machtiging
0
0
nvt
0
0
0
individuele machtiging
10
10
100,00
0
8
18
07.2013 - 09.2013
18
16
88,89
2
3
19
aansluiting
5
4
80,00
1
0
4
algemene machtiging
2
2
nvt
0
0
2
individuele machtiging
11
10
90,91
1
3
13
10.2013 - 12.2013
13
3
23,08
10
11
14
aansluiting
1
0
0,00
1
10
10
algemene machtiging
0
0
nvt
0
0
0
individuele machtiging
12
3
25,00
9
1
4
globaal
72
48
66,67
24
31
79
aansluiting
28
14
50,00
14
19
33
algemene machtiging
2
2
100,00
0
0
2
individuele machtiging
42
32
76,19
10
12
44
MA NL
FO-MA dossiers 2013 per type 50
Aantal
40 30 20
33
28 14
32
14
10
10 0
44
42
2 aansluiting
2
0
2
algemene machtiging
individuele machtiging
FO-MA dossier IN
FO-MA dossier OUT
FO-MA dossier open
Totaal FO-MA dossier OUT
STAT-MA dossiers 2013 per type
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
87
4.2.2 Behandelingstermijn FO-MA dossiers Aansluiting
Behandelingstermijn
Afgesloten dossiers ** (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
≤ 45 d
27
96,43
9
64,29
> 45 d
1
3,57
5
35,71
on hold * of behandeling stopgezet
5
nvt
nvt
nvt
globaal
33
100
14
100
* Dossier niet in staat, de aanvrager heeft momenteel nog geen antwoord vertrekt op de overgemaakte vragen waardoor de behandeling van het dossier op "on hold" is geplaatst ** Voor de afgesloten dossier worden de dossiers die onontvankelijk zijn of waarvoor de behandeling is stopgezet niet opgenomen in de berekening van de behandelingstermijn
Individuele machtigingen Behandelingstermijn
Afgesloten dossiers ** (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
≤ 45 d
34
87,18
8
80,00
> 45 d
5
12,82
2
20,00
on hold * of behandeling stopgezet
5
nvt
nvt
nvt
globaal
44
100
10
100
Wettelijk opgelegde behandelingstermijn: 30 dagen na ontvangst van het technisch en juridisch advies met een maximum van 45 dagen nadat het dossier volledig in orde is.
88
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
4.2.3 Gevolg verleend aan de afgesloten FO machtigingsdossiers
Dossiertype Aansluiting
Gevolg
Aantal
84,85
5
15,15
23
52,27
machtiging met ontbindende voorwaarde
1
2,27
machtiging met opschortende voorwaarde
11
25,00
machtiging van bepaalde duur
1
2,27
gedeeltelijke machtiging
3
6,82
behandeling stopgezet
5
11,36
machtiging behandeling stopgezet
Individuele machtiging
% / dossiertype
28
machtiging
4.2.4 Aantal aansluitingen per algemene machtiging Algemene machtiging
Aantal
FO nr 12/2009 (01/10/2009)
10
FO nr 17/2010 (21/10/2010)
7
FO nr 04/2012 (29/03/2012)
11
4.2.5 Adviezen Sectoraal comité voor de Federale Overheid Het Sectoraal comité voor de Federale Overheid bracht in 2013 ook 1 advies uit. Dit advies werd binnen de wettelijke termijn van 60 dagen na aanvraag behandeld met als resultaat ‘gunstig’.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
89
4.3 Dossiers behandeld door Statistisch Toezichtscomité: STAT-MA dossiers in cijfers 4.3.1 Globale analyse STAT-MA dossiers 2013 per type
MATrimester NL
STAT-MA dossier IN
STAT-MA dossier OUT
% afgesloten
STAT-MA dossier open
STAT-MA dossier <2013 OUT
Totaal STAT-MA dossier OUT
01.2013 - 03.2013
3
3
100,00
0
3
6
aansluiting
0
0
nvt
0
0
0
0
0
0 0 nvt 0 FO-MA dossiers 2013 per type 3 3 100,00 0
algemene machtiging individuele machtiging 04.2013 - 06.2013 aansluiting 50
3
6
8
8
100,00
0
4
12
0
0
nvt
0 42
440
0
algemene machtiging
0
individuele machtiging
8
40
Aantal
07.2013 - 09.2013 aansluiting
30
28
0
nvt
8
100,00
0
7
7
100,00
0
0
nvt
0
nvt
0
33
140 14
20 algemene machtiging individuele machtiging
7
7
10.2013 - 12.2013
4
1
aansluiting
0
0
10
0
algemene machtiging
0 aansluiting
individuele machtiging
4
100,00
2
2 25,00 0
0algemene machtiging nvt 1
globaal
0
0
4
12
0
2
9
0
0
0
0
0
32
10
0
2
nvt
25,00
FO-MA dossier IN19 22
2
9
3
0
1
0
0
0
0 0 individuele machtiging
0
3
FO-MA dossier OUT 86,36 3
FO-MA dossier open 0 0
aansluiting
0
Totaal FO-MA dossier OUT nvt 0
0
1
9
28
0
0
algemene machtiging
0
0
nvt
0
0
0
individuele machtiging
22
19
86,36
3
9
28
STAT-MA dossiers 2013 per type 28
30 22
Aantal
25 20
19
15 10 5 0
90
0
0
0
0
aansluiting
0
0
0
3
0
algemene machtiging
individuele machtiging
STAT-MA dossier IN
STAT-MA dossier OUT
STAT-MA dossier open
Totaal STAT-MA dossier OUT
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
4.3.2 Behandelingstermijn STAT-MA dossiers Individuele machtiging
Behandelingstermijn
Afgesloten dossiers ** (Aantallen)
Afgesloten dossiers (%)
≤ 45 d
26
92,86
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
3
100,00
> 45 d
2
7,14
0
0,00
on hold * of behandeling stopgezet
0
nvt
nvt
nvt
globaal
28
100
3
100
4.3.3 Gevolg verleend aan de afgesloten STAT machtigingsdossiers
Dossiertype Individuele machtiging
Gevolg machtiging
Aantal
% / dossiertype
24
85,71
machtiging met opschortende voorwaarde
3
10,71
weigering
1
3,57
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
91
4.4 Dossiers behandeld door het Sectoraal comité van het Rijksregister: RR-MA dossiers in cijfers 4.4.1 Globale analyse RR-MA dossiers 2013 per type RR-MA dossier IN
Trimester
RR-MA dossier OUT
RR-MA dossier open
% afgesloten
RR-MA dossier <2013 OUT
Totaal RR-MA dossier OUT
01.2013 - 03.2013
63
60
95,24
3
15
75
aansluiting
39
38
97,44
1
14
52
algemene machtiging
1
1
100,00
0
0
1
individuele machtiging
23
21
91,30
2
1
22
04.2013 - 06.2013
186
181
97,31
5
28
209
aansluiting
163
159
97,55
4
18
177
algemene machtiging
0
0
nvt
0
1
1
individuele machtiging
23
22
95,65
1
9
31
07.2013 - 09.2013
90
82
91,11
8
5
87
aansluiting
70
68
97,14
2
2
70
algemene machtiging
0
0
nvt
0
0
0
individuele machtiging
20
14
70,00
6
3
17
10.2013 - 12.2013
74
35
47,30
39
26
61
aansluiting
47
27
57,45
20
16
43
algemene machtiging
2
0
0,00
2
1
1
individuele machtiging
25
8
32,00
17
9
17
globaal
413
358
86,68
55
74
432
aansluiting
319
292
91,54
27
50
342
algemene machtiging
3
1
33,33
2
2
3
individuele machtiging
91
65
71,43
26
22
87
RR-MA dossiers 2013 per type 350 300
319
342 292
Aantal
250 200 150 100 50 0
92
91 27 aansluiting
3
1
2
26
3
algemene machtiging
87
65
individuele machtiging
RR-MA dossier IN
RR-MA dossier OUT
RR-MA dossier open
Totaal RR-MA dossier OUT
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
4.4.2 Behandelingstermijn RR-MA dossiers
Aansluiting
Behandelingstermijn
Afgesloten dossiers ** (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
≤ 45 d
328
98,80
21
77,78
> 45 d
4
1,20
6
22,22
on hold * of behandeling stopgezet
10
nvt
nvt
nvt
globaal
342
100
27
100
Individuele machtiging Behandelingstermijn
Afgesloten dossiers ** (Aantallen)
Afgesloten dossiers (%)
Dossiers in behandeling (Aantallen)
Dossiers in behandeling (%)
≤ 45 d
78
95,12
15
57,69
> 45 d
4
4,88
11
42,31
on hold * of behandeling stopgezet
5
nvt
nvt
nvt
globaal
87
100
26
100
Wettelijk opgelegde behandelingstermijn: 30 dagen na ontvangst van het technisch en juridisch advies met een maximum van 45 dagen nadat het dossier volledig in orde is.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
93
4.4.3 Gevolg verleend aan de afgesloten RR machtigingsdossiers
Dossiertype
Gevolg
Aansluiting secretariaat
Individuele machtiging
Aantal
machtiging
% / dossiertype
330
96,49
machtiging met opschortende voorwaarde
1
0,29
weigering
1
0,29
behandeling stopgezet
10
2,92
machtiging
52
59,77
machtiging met opschortende voorwaarde
19
21,84
machtiging met ontbindende voorwaarde
4
4,60
machtiging van bepaalde duur
3
3,45
gedeeltelijke machtiging
2
2,30
weigering
2
2,30
behandeling stopgezet
5
5,75
4.4.4 Aantal aansluitingen per algemene machtiging Algemene machtiging RR nr 08/2006 (22/03/2006)
Aantal 258
RR nr 46/2008 (12/11/2008)
8
RR nr 21/2009 (25/03/2009)
24
RR nr 22/2009 (25/03/2009)
5
RR nr 38/2009 (17/06/2009)
2
RR nr 74/2009 (23/12/2009)
2
RR nr 15/2010 (14/04/2010)
3
RR nr 35/2010 (06/10/2010)
7
RR nr 02/2011 (26/01/2011)
12
RR nr 40/2011 (20/07/2011)
1
RR nr 21/2012 (14/03/2012)
2
RR nr 55/2012 (18/07/2012)
1
RR nr 83/2012 (17/10/2012)
1
RR nr 10/2013 (16/01/2013)
3
RR nr 13/2013 (13/02/2013)
2
94
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
4.4.5 Adviezen Sectoraal comité van het Rijksregister Het Sectoraal comité van het Rijksregister bracht in 2013 ook 1 advies uit. Dit advies werd binnen de wettelijke termijn van 60 dagen na aanvraag behandeld met als resultaat 'gunstig met voorwaarden'.
4.5 Dossiers behandeld door het Sectoraal comité van de Kruispuntbank van Ondernemingen: KBO dossiers in cijfers Het adviesdossier geopend in 2012 werd dit jaar afgesloten. Deze adviesaanvraag werd evenwel verder behandeld in een adviesdossier van de Commissie dat aanleiding gaf tot de beslissing nr. 5/2013.
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
95
5 Vergelijkende analyse: 2012 - 2013 5.1 Openen van dossiers 2012 Kerndossiers
2013
∆ IN - nominaal
2 896
3 532
636
Beslissingsdossiers
845
882
37
SCSZ&G-MA
159
159
0
SCSZ&G-A
132
108
-24
FO-MA
46
42
-4
FO-AD
40
28
-12
FO-ALG
2
2
0
FO-A
0
1
1
STAT-MA
38
22
-16
STAT-ALG
0
0
0
RR-MA
106
91
-15
RR-AD
229
319
90
5
3
-2
RR-ALG RR-A
0
1
1
CO-A
44
69
25
7
4
-3
CO-AR CO-LV CO-EVAL KBO-A RPR-aangiftedossiers Kennisgeving mobiele camera
9
11
2
28
22
-6
0
0
0
7 370
6 037
-1 333
115
85
-30
PR-dossiers
32
98
66
FO-dossiers
1 892
2 868
976
96
Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013
deel 2
5.2 Afsluiten van dossiers 2012* Kerndossiers
2013
∆ IN - nominaal
2 398
3 028
630
566
656
90
FO-MA
35
44
9
FO-AD
43
33
-10
FO-ALG
2
2
0
FO-A
0
0
0
STAT-MA
31
28
-3
STAT-ALG
1
0
-1
Beslissingsdossiers
RR-MA
105
87
-18
RR-AD
263
342
79
5
3
-2
RR-ALG RR-A
0
0
0
CO-A
39
71
32
9
7
-2
CO-AR CO-LV CO-EVAL
9
11
2
24
27
3
0
1
1
KBO-A
* Deze cijfers voor 2012 kunnen verschillen van wat terug te vinden is in het Jaarverslag 2012. Dit komt omdat dit jaar voor de beslissingsdossiers ook de in 2013 afgesloten dossiers zijn meegerekend die vóór 2013 geopend werden. Om een vergelijking met 2012 mogelijk te maken werden hierboven dezelfde cijfers voor het jaar 2012 opgenomen.
SCSZ&G-MA SCSZ&G-A
Machtiging 'Sociale Zekerheid en Gezondheid'
RR-A
Advies 'Sociale Zekerheid en Gezondheid'
KBO-A
Adviesaanvragen 'Kruispuntbank Ondernemingen'
FO-MA
Machtiging 'Federale Overheid'
FO-AD
Aansluiting algemene machtiging 'Federale Overheid'
CO-AR
Aanbeveling Commissie
Algemene machtiging 'Federale Overheid'
CO-LV
Aanbeveling latere verwerking Commissie
FO-ALG FO-A STAT-MA STAT-ALG
Advies 'Federale Overheid'
CO-EVAL
Machtiging 'Statistisch Toezichtscomité' Algemene machtiging 'Statistisch Toezichtscomité'
RR-MA
Machtiging 'Rijksregister'
RR-AD
Aansluiting algemene machtiging 'Rijksregister'
RR-ALG
CO-A
Advies 'Rijksregister'
RPR
Adviesaanvragen (artikel 29 WPL) Commissie
Evaluatie impact adviezen Commissie Openbaar register
PR
Pers
FO
Front office - eerste lijnsondersteuning
Algemene machtiging 'Rijksregister'
Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer
97
Commissie voor de bescherming van de persoonlijke levenssfeer Drukpersstraat 35 | B-1000 Brussel | T+32 (0)2 274 48 00 | E-mail
[email protected] | Website: http://www.privacycommission.be Kopiëren, geheel of gedeeltelijk, van deze brochure is toegestaan met vermelding van de bron en werkreferenties. Verantwoordelijke uitgever: W. Debeuckelaere
Prepress en druk: Centrale drukkerij van de Kamer van volksvertegenwoordigers Er bestaat ook een Franse versie van dit jaarverslag. Il existe aussi une version française de ce rapport annuel. U kunt dit jaarverslag raadplegen of downloaden op de website van de Privacycommissie.