1/11
De Commissie voor de bescherming van de persoonlijke levenssfeer Beraadslaging STAT nr 06/2010 van 31 maart 2010
Betreft: aanvraag van de Universiteit van Luik (Lepur) om vanwege de Algemene Directie Statistiek en Economische Informatie gecodeerde studiegegevens te verkrijgen uit de socio-economische enquête 2001 (STAT-MA-2010-006)
De Commissie voor de bescherming van de persoonlijke levenssfeer (hierna "de Commissie"); Gelet op de wet van 4 juli 1962 betreffende de openbare statistiek (hierna "wet openbare statistiek"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna "WVP"); Gelet op het koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992
tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna "koninklijk besluit van 13 februari 2001"); Gelet op het koninklijk besluit van 7 juni 2007 tot vaststelling van de nadere regels met betrekking
tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van de Universiteit van Luik (Lepur) ontvangen op 05/02/2010; en gelet op de vraag naar bijkomende informatie en het antwoord per e-mail van 9 februari 2010;
Beraadslaging STAT 06 /2010 - 2/11
Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Economie, KMO, Middenstand en Energie (Algemene Directie Statistiek en Economische Informatie) op 19/02/2010; Gelet op het technisch en juridisch advies ontvangen op 15/03/2010; Gelet op het verslag van de Voorzitter; Beslist op 31 maart 2010, na beraadslaging, als volgt: I.
ONDERWERP VAN DE AANVRAAG
1. De aanvrager wenst van de Algemene Directie Statistiek en Economische Informatie (hierna
.
ADSEI) gecodeerde studiegegevens (mobiliteitsgegevens) te verkrijgen uit de socio-
.
economische enquête 2001.
.
2. De aanvraag betreft ook het vertrouwelijkheidscontract dat tussen de voormelde partijen moet worden afgesloten. II.
ONDERZOEK VAN DE AANVRAAG
A. TOEPASSELIJKE WETGEVING Wet openbare statistiek 3. Krachtens de artikelen 15 en 15bis van de statistiekwet, is het Statistisch Toezichtscomité bevoegd om enerzijds de doorgifte te machtigen van gecodeerde studiegegevens door ADSEI aan de bestemmelingen, vermeld in de statistiekwet en anderzijds om het vertrouwelijkheidscontract goed te keuren dat tussen de betrokken partijen wordt afgesloten. 4. Artikel 16 van het voormeld koninklijk besluit van 7 juni 2007 bepaalt dat de Commissie wordt belast met de opdrachten van het Statistisch Toezichtscomité tot aan de installatie en benoeming van de leden van dit comité.
Beraadslaging STAT 06 /2010 - 3/11
De WVP en het kb van 13 februari 2001 5. Op grond van artikelen 1, § 1, en 3, § 1 van de WVP en artikel 1, 3° van het kb van 13 februari 2001 zijn gecodeerde studiegegevens die geïdentificeerde of identificeerbare personen betreffen, persoonsgegevens waarvan de verwerking slechts mag gebeuren onder de in de WVP en het kb van 13 februari 2001 gestelde voorwaarden. 1 B. WETTELIJKE BASIS VAN DE AANVRAAG 6. De aanvrager staat in de lijst van de in de statistiekwet limitatief opgesomde bestemmelingen, meer bepaald in artikel 15. 7. Onder deze bestemmelingen staan in het 1 ste lid, 4° inderdaad de natuurlijke en rechtspersonen vermeld die een wetenschappelijke onderzoeksdoel nastreven. 8. De aanvrager kan dus een machtigingsaanvraag indienen om de bedoelde gegevens te verkrijgen. C. DOELEINDEN 9. Persoonsgegevens moeten worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (art. 4, §1, 2° van de WVP). 10. De gevraagde gegevens moeten dienen voor wetenschappelijk onderzoek en als hulp bij de besluitvorming. Het algemeen doel van het onderzoek is om, in het kader van de uitvoering van de gewestelijke beleidsverklaring van de Waalse Regering, cijfergegevens te leveren over de impact van de uitstoot van broeikasgassen in verschillende scenario’s, in het mobiliteitsbeleid en de bezetting van de bodem. Een van de belangrijkste luiken van het onderzoek beoogt de energiekosten van de verplaatsingen in Wallonië te berekenen. Daarvoor moet een analyse gemaakt worden op basis van een CO2-uitstootcoëfficiënt dat varieert naargelang de afgelegde afstand, het gebruikte vervoermiddel en het doel van de
1
Zie artikel 1, 3° van het koninklijk besluit van 13 februari 2001 en zie ook Memorie van Toelichting bij het wetsontwerp tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, Parl. St. Kamer 1997-98, nr. 1566/1 p. 12: “Ook gecodeerde informatie waarbij door de verantwoordelijke
voor de verwerking zelf niet kan nagegaan worden op welk individu de informatie betrekking heeft, vermits hij niet in het bezit is gesteld van de daarvoor noodzakelijke sleutels, wordt derhalve als “persoonsgegevens” beschouwd indien identificatie nog door iemand anders kan verricht worden.”
Beraadslaging STAT 06 /2010 - 4/11
verplaatsing. Bijvoorbeeld, de afgelegde kilometers voor de woon-werkverplaatsingen in een bepaalde statistische sector worden vermenigvuldigd met een gemiddelde percentage CO2uitstoot van motorvoertuigen. 11. Deze welbepaalde doeleinden zijn in overeenstemming met de voormelde vereisten van de WVP. 12. Artikel 15 van de statistiekwet bepaalt dat gecodeerde gegevens moeten worden verstrekt voor wetenschappelijke of statistische doeleinden. 13. Uit het vertrouwelijkheidscontract blijkt dat de aanvrager die gegevens alleen mag gebruiken voor de vermelde analyse en studie en voor het opstellen van globale, anonieme statistieken en dat de verkregen gegevens niet aan derden kunnen worden doorgegeven of gebruikt voor controle- of repressiemaatregelen. 14. De vereisten van de statistiekwet inzake de doeleinden zijn dus nageleefd. D. PROPORTIONALITEIT De gevraagde gegevens 15. De
gevraagde
gegevens
betreffen
de
woon-werkverplaatsingen
en
woon-
schoolverplaatsingen uit de algemene socio-economische enquête van 1 oktober 2001 voor het Waalse Gewest. De gevraagde gegevens zijn niet-samengevoegde gegevens of bij gebrek daaraan samengevoegde gegevens per statistische sector. Ze bevatten:
De frequentie van de verplaatsing (vraag 26b.)
Het gebruikte vervoermiddel (vraag 26 c.)
De afgelegde afstand (vraag 26 d.)
De combinatie van de woon-werkverplaatsing met een andere activiteit (vraag 26f.).
Voor de resultaten van vraag 26d, wordt per statistische sector een herkomst-bestemming matrix gevraagd. Dit betekent dat de aanvraag ook impliciet betrekking heeft op: 1. De verblijfplaats van de deelnemer, vertaald in statistische sector 2. De werkplaats of onderwijsplaats (vraag 24) vertaald in statistische sector 3. De plaats van waar men gewoonlijk vertrekt (vraag 25), vertaald in statistische sector.
Beraadslaging STAT 06 /2010 - 5/11
Noodzaak om de gecodeerde gegevens te verkrijgen 16. De onderzoeker mag enkel gecodeerde persoonsgegevens ontvangen indien het onmogelijk is om met de verwerking van anonieme gegevens de statistische of wetenschappelijke doeleinden die hij betracht, te verwezenlijken (artikel 4 van de WVP). 17. Uit de aanvraag kan impliciet worden begrepen dat het onderzoek alleen met gecodeerde gegevens gerealiseerd kan worden. Noodzaak om ieder gegeven te verkrijgen 18. Het bewijs hiervan wordt op een algemene manier omschreven. 19. Het technisch en juridisch advies besluit dat, de reeks gegevens waarop de aanvraag betrekking heeft, in het licht van het geplande onderzoek, gerechtvaardigd is. 20. De Commissie sluit zich bij dit advies aan en beschouwt de gevraagde gegevens als toereikend, ter zaken dienend en niet overmatig (artikel 4, §1, 3° van de WVP). Frequentie van de mededeling 21. De gevraagde gecodeerde studiegegevens worden doelgericht voor dit specifiek project verstrekt binnen de 60 dagen nadat het contract werd afgesloten. Duur van het onderzoek 22. De duur van het onderzoek werd vastgesteld op 2 jaar (einde in oktober 2011). Bewaartermijn 23. De bewaartermijn van de gegevens is beperkt tot de duur van het onderzoek, hetzij tot 30 oktober 2011. Volgens het technisch en juridisch advies, lijkt deze termijn niet overmatig te zijn gelet op de doelstellingen van het onderzoek en gelet op de gebruikte technieken en methodes. De aanvrager vernietigt de gegevens en back-ups zonder verwijl zodra het statistisch doeleinde is bereikt. De Commissie stelt vast dat de bewaartermijn niet langer duurt dan de tijd die nodig is om de doeleinden te bereiken (artikel 4, §1, 5° van de WVP).
Beraadslaging STAT 06 /2010 - 6/11
E. AANGIFTE 24. De aanvrager verbindt er zich toe om vooraleer hij begint met de verwerking van de bedoelde gecodeerde gegevens, daarvan aangifte te doen bij de Commissie (art. 17 van de WVP). F. VEILIGHEID 25. De aanvrager moet erover waken dat de verkregen studiegegevens beschermd en beveiligd zijn (art. 16 van de WVP en 15bis van de statistiekwet). De onderzoeker vermeldt dat de gegevens
op
een
beschermde
schijf
gecentraliseerd
worden
en
dat
alleen
de
verantwoordelijke en een van de twee exploitanten (gebruikers) van de gegevens er toegang tot hebben. 26. Uit het evaluatieformulier blijkt dat : i.
de aanvrager niet over een veiligheidsconsulent beschikt;
ii.
werden uitgevoerd:
er zijn beveiligingsmaatregelen genomen om een onnodige en niet gemachtigde fysieke toegang tot de gegevensdragers te verhinderen;
er
werden
maatregelen
genomen
om
te
vermijden
dat
aan
de
persoonsgegevens fysieke schade wordt toegebracht
er wordt een bijgewerkte lijst van de personen die gemachtigd zijn toegang te hebben tot de gegevens alsook van hun respectievelijk toegangsniveau ter beschikking gehouden;
er
werden
op
de
informatiesystemen
een
toegangsmechanisme
geïnstalleerd zodat de gegevens en de verwerkingen alleen toegankelijk zijn voor personen en toepassingen die daarvoor uitdrukkelijk gemachtigd zijn;
er werd een systeem voor de permanente registratie van de identiteit van de eenheden die toegang hebben tot de persoonsgegevens;
iii.
werden niet uitgevoerd:
een geschreven versie van het veiligheidsbeleid waarin het beleid voor de persoonsgegevensbescherming werd geïntegreerd;
een evaluatie van de risico’s en eigen veiligheidsbehoeften;
een controle van de geldigheid en doeltreffendheid in de tijd van de technische
en
organisatorische
maatregelen
persoonsgegevens waarborgen is gepland;
die
de
veiligheid
van
Beraadslaging STAT 06 /2010 - 7/11
de invoering van urgentieprocedures bij veiligheidsincidenten waarbij persoonsgegevens betrokken zijn;
iv.
een geactualiseerde documentatie over de veiligheidsmaatregelen.
zijn zonder voorwerp:
verstrekken van informatie aan het personeel over hun verplichtingen inzake vertrouwelijkheid en veiligheid;
identificatie van de verschillende dragers die persoonsgegevens bevatten;
veiligheidsmaatregelen om de verschillende netwerken te beschermen die verbonden zijn met de apparatuur die de gegevens verwerken.
27. Volgens de ADSEI volstaan deze maatregelen niet omdat: -
er een toegangsbeheer voor de lokalen moet zijn. Dit betekent bijvoorbeeld dat de lokalen moeten worden beschermd en afgesloten met een sleutel. De Commissie meent evenwel dat een positief antwoord werd gegeven op de vragen die betrekking hebben op het vermijden van fysieke toegang tot de dragers. Op de vraag over het voorkomen van fysieke schade werd daaraan nog toegevoegd dat de gegevens bewaard worden in een beveiligd lokaal.
-
de toegang tot de gegevens ten minste beschermd moet worden met een login en paswoord en dat het voor een hogere veiligheidsgraad goed zou zijn dat er een automatisch codeersysteem voor de bestanden wordt geïnstalleerd. Wat de toegang tot de gegevens betreft, stelt de Commissie vast dat de gegevens bewaard worden op een beveiligde schijf, dat er positief geantwoord werd op de vraag of de identiteit van de eenheden die toegang hebben tot de gegevens permanent wordt geregistreerd en dat het bestaan werd vermeld van een identificatiemiddel en een historiek voor elke toegangspost (hier gaat het maar over één pc). De Commissie spoort de onderzoeker echter aan om in een automatische codering van de gegevens te voorzien.
-
de informatieverstrekking over de veiligheid en de vertrouwelijkheid zonder voorwerp is. De Commissie stelt vast dat het onderzoeksteam sterk werd afgeslankt en dat de aanvrager een nauwlettende opvolging van de beschermings- en veiligheidsmaatregelen voor de gegevens garandeert. Die verplichting wordt overigens herhaald in artikel 3 van het vertrouwelijkheidcontract.
De verantwoordelijke natuurlijke persoon 28. De identiteit van de verantwoordelijke natuurlijke persoon werd meegedeeld (zie bijlage 3 van het contract en de e-mail van 9 februari 2010 van de directeur van Lepur). Deze persoon is verantwoordelijk voor de naleving van alle wettelijke, reglementaire en
Beraadslaging STAT 06 /2010 - 8/11
contractuele verplichtingen en van de bepalingen van onderhavige beslissing van de Commissie. Hij is eveneens verantwoordelijk voor de daadwerkelijke controle van het rechtmatig
gebruik van
de
verkregen gegevens. Die
persoon is daarnaast
ook
verantwoordelijk voor de daadwerkelijk controle op het wettelijk gebruik van de verstrekte gegevens en moet er moet er bovendien persoonlijk op toezien dat de gegevens worden gewist zodra de statistische resultaten werden gehaald of zodra de bewaartermijn van de gegevens is vervallen. Personen die studiegegevens gebruiken en de lijst van deze personen 29. De personeelsleden (twee leden, waarvan de ene via de toegang die de andere hem verschafte) die van de verstrekte gegevens gebruik zullen maken werden uitdrukkelijk vermeld in de aanvraag. Scheiding van andere verwerkingen 30. De aanvrager moet de gegevensverwerking waarvan hier sprake is, apart houden van eventuele andere gegevensverwerkingen waarvoor hij verantwoordelijk zou zijn. Verbod op decodering 31. De aanvrager verbindt er zich toe alles in het werk te stellen dat de personen wier gegevens hij verwerkt niet geïdentificeerd worden. Koppelverbod 32. De aanvrager verbindt er zich toe dat hij niets zal ondernemen om de verkregen persoonsgegevens te koppelen aan gegevens die hij reeds verkreeg in het kader van andere machtigingen. Vertrouwelijkheid 33. De aanvrager verbindt er zich toe om de vertrouwelijkheid van de studiegegevens in acht te nemen en erover te waken dat die gegevens uitsluitend gebruikt worden door zijn eigen personeelsleden voor het beoogde onderzoek. Het evaluatieformulier vermeldt dat het personeel werd ingelicht over hun vertrouwelijkheids- en veiligheidplichten.
Beraadslaging STAT 06 /2010 - 9/11
G. ANDERE GEBRUIKSVOORWAARDEN Verspreiding van de resultaten 34. De aanvrager moet ervoor zorgen dat, na onderzoek en gebruik van de gegevens, de gepubliceerde resultaten anoniem en globaal blijven zodat de persoonsgegevens er niet rechtstreeks of onrechtstreeks uit geïdentificeerd kunnen worden. De onderzoeker verduidelijkt dat de gegevens alleen samengevoegd en op een schaal van statistische sectoren zullen worden verwerkt en gepubliceerd en dat hierdoor de identificatie van enige persoonlijke informatie onmogelijk is. 35. Het technisch en juridisch advies vermeldt dat wanneer een statistische sector slechts een klein aantal inwoners bevat er voor de levering van de gevraagde gegevens een drempel kan worden ingevoerd (een minimum aantal inwoners per statistische sector) zodat de kans op een mogelijk onrechtstreekse identificatie kleiner wordt. 36. Ten minste 15 dagen voor de verspreiding moet de aanvrager de resultaten voorleggen aan de ADSEI die dan eventueel de verspreiding kan verbieden. De term "verspreiding" moet in brede zin worden begrepen omdat rekening wordt gehouden met de evolutie in de informatiemaatschappij en omvat elke schriftelijke, mondelinge of online verspreiding. Controle 37. De aanvrager stemt er uitdrukkelijk mee in dat vertegenwoordigers van de Commissie altijd en zonder voorafgaande ingebrekestelling toegang krijgen tot de lokalen en tot de informatica-infrastructuur waar de verstrekte gegevens worden bewaard, om na te gaan of de bepalingen van de voorliggende machtiging en van de wet openbare statistiek en haar uitvoeringsbesluiten, alsook de bepalingen van onderhavig vertrouwelijkheidscontract worden uitgevoerd. 38. Op eenvoudig verzoek kan de Commissie toegang krijgen tot andere lokalen en ICTsystemen om te controleren of er geen inbreuk gepleegd wordt op de bepalingen van de machtiging van de Commissie, de wet openbare statistiek, haar uitvoeringsbesluiten en de bepalingen van het vertrouwelijkheidscontract.
Beraadslaging STAT 06 /2010 - 10/11
Onderzoek zoals bedoeld in artikel 15, 1ste lid, 4° van de statistiekwet 39. De aanvraag omschrijft duidelijk de onderzoeksmethode en -normen die de onderzoeker zal gebruiken. Het onderzoek lijkt te worden gevoerd overeenkomstig de van kracht zijnde wetenschappelijke normen en met de gepaste onderzoeksmethodes.
Verwerking 40. Bij onderaanneming vereist het artikel 16 van de WVP dat een contract wordt afgesloten waarin de veiligheidsmaatregelen en de andere punten van dit artikel vermeld worden. III.
VERTROUWELIJKHEIDSCONTRACT
41. Het ontwerp van vertrouwelijkheidscontract, gevoegd bij de aanvraag, dat de voorwaarden vastlegt waaronder de studiegegevens kunnen worden verstrekt aan de aanvrager, moet overeenstemmen met de vereisten van artikel 15bis van de statistiekwet. 42. Na afloop van het contract mag de vertrouwelijkheid van de gegevens zelf niet worden verbroken. Dit laatste moet onbeperkt in de tijd geëerbiedigd worden. 43. Het contract kan op geen enkele manier afbreuk doen aan de voorwaarden van de beslissing van de Commissie inzake de mededeling van gegevens. 44. De contractuele bepalingen betreffende de privacy en vertrouwelijkheid, maken integraal deel uit van onderhavige beslissing waardoor ook de personen vreemd aan het vertrouwelijkheidscontract zich kunnen wenden tot de Commissie om te laten controleren of de aanvrager het gebruik van de gegevens naleeft. IV.
ALGEMEEN BESLUIT
45. De onderzoeker moet bij de verwerking van de verkregen persoonsgegevens rekening houden met de WVP, de wet openbare statistiek, hun uitvoeringsbesluiten en elke andere wettelijke of reglementaire bepaling tot bescherming van de persoonlijke levenssfeer, de bepalingen van de onderhavige beslissing van de Commissie, en de bepalingen van het vertrouwelijkheidscontract die hij heeft afgesloten met de ADSEI.
Beraadslaging STAT 06 /2010 - 11/11
V.
SPECIFIEK BSLUIT
46. De Commissie is van mening dat : -
uitgaande van het omschreven doeleinde, de mededeling van de gecodeerde studiegegevens, bedoeld in punt 15, gemachtigd is;
-
de gegevens zullen worden verstrekt binnen de 60 dagen nadat het contract werd afgesloten;
-
de onderzoeker verzocht wordt om verhoogde veiligheidsmaatregelen te nemen, meer in het bijzonder op korte termijn, door de invoering van een automatische codeermethode van de bestanden.
-
indien een statistische sector slechts een klein aantal inwoners bevat er voor de levering van de gevraagde gegevens een drempel kan worden ingevoerd (minimum aantal inwoners per statistische sector) zodat de kans op een mogelijke onrechtstreekse identificatie kleiner wordt;
-
de bewaartermijn van de gegevens moet worden beperkt tot de behoeften van het onderzoek, hetzij 30 oktober 2011. De gegevens en back-ups moeten worden vernietigd door de aanvrager eens hij zijn doel heeft bereikt.
OM DEZE REDENEN De Commissie machtigt de Algemene Directie Statistiek en Economische Informatie om de gecodeerde studiegegevens waarvan sprake en onder de vermelde voorwaarden te verstrekken aan de Universiteit van Luik (Lepur). De Commissie keurt het veiligheidscontract goed. De voorliggende machtiging treedt in werking zodra het contract werd ondertekend Voor de Administrateur m.v.,
De Voorzitter,
(get.) Patrick Van Wouwe
(get.) Willem Debeuckelaere
