Jaarverslag 2013 - Privacy Commission
Transcription
Jaarverslag 2013 - Privacy Commission
CBPL Commissie voor de bescherming van de persoonlijke levenssfeer CPP Commission for the protection of privacy CPVP Commission de la protection de la vie privée ASP Ausschuss für den Schutz des Privatlebens Jaarverslag 2013 Inhoudsopgave Deel 1: De Privacycommissie 8.3Informatie, klachtafhandeling en bijstand in uitoefening rechten en plichten 1 Bevoegdheden van de Privacycommissie 9 2 Samenstelling van de Privacycommissie 10 3 Structuur van de Privacycommissie 8.4 in cijfers 56 8.5 Kerndossiers Privacycommissie 2013 in cijfers 59 8.6 Vraag en Antwoord dossiers Privacycommissie 2013 in cijfers 12 8.7 4 Bestuursplan van de Privacycommissie 13 4.1 Integratie van de sectorale comités 13 4.2 Informatie aan het publiek 13 4.3Ondersteuning van de Privacycommissie en de 4.4 sectorale comités 14 Internationale samenwerking 14 4.5Handhavingsbeleid 14 4.6 15 Aangiften en openbaar register 4.7Informatiebeveiliging Privacycommissie16 5.1Gezondheid 16 5.2 Politie, justitie en veiligheid 19 5.3 Administratieve vereenvoudiging 24 5.4 Financiën en fiscaliteit 25 5.5Informatie- en Vervoer en mobiliteit 5.7Varia 1 2 76 2.1 Privacycommissie loco Statistisch Toezichtscomité 76 2.2 Sectoraal comité van het Rijksregister 76 2.3 Sectoraal comité voor de Federale Overheid 81 2.4 Sectoraal comité van de Sociale Zekerheid en van de Gezondheid 82 3 Activiteiten van de sectorale comités in cijfers85 3.1 Sectoraal comité van de Sociale Zekerheid en van de Gezondheid 85 Sectoraal comité voor de Federale Overheid 85 30 3.3 Sectoraal comité van het Rijksregister 85 3.4 Sectoraal comité van de Kruispuntbank van Ondernemingen en Sectoraal Toezichtscomité Phenix 35 6.2Aanbevelingen 39 6.3 39 4 85 Dossiers behandeld door de sectorale comités in 201386 4.1 Dossier behandeld door het Sectoraal comité van de Sociale Zekerheid en van 7Belangrijkste internationale activiteiten van de Privacycommissie 41 Internationale conferenties 41 de Gezondheid: SCSZ&G-dossiers in cijfers 4.2 7.2Werkgroep gegevensbescherming “Artikel 29” – Groep 29 Belangrijkste activiteiten van de 3.2 35 7.1 75 29 6.1Adviezen Aanbevelingen Latere Verwerking De sectorale comités in een notendop sectorale comités 6Lijst van beslissingen van de Privacycommissie in 2013 69 Deel twee: de sectorale comités communicatietechnologie28 5.6 66 Aangifte- en kennisgevingsdossiers 2013 in cijfers 15 5Belangrijkste nationale activiteiten van de 54 Beslissingsdossiers Privacycommissie 2013 86 Dossiers behandeld door het Sectoraal comité voor de Federale Overheid: 43 7.3IWGDPT (International Working Group on FO-MA dossiers in cijfers 4.3 87 Dossiers behandeld door Statistisch Data Protection in Telecommunication) 49 Gemeenschappelijke controleorganen 50 4.4 reglementair kader voor gegevensbescherming 50 4.5 8 Activiteiten van de Privacycommissie in cijfers 53 8.1 Regelgeving en normering 53 54 5 Vergelijkende analyse: 2012 - 201396 5.1 Openen van dossiers 96 5.2 Afsluiten van dossiers 97 7.4 Toezichtscomité: STAT-MA dossiers in cijfers 7.5Hervorming van het Europees 90 Dossiers behandeld door het Sectoraal comité van het Rijksregister: RR-MA dossiers in cijfers 92 Dossiers behandeld door het Sectoraal comité van de Kruispuntbank van Ondernemingen: 8.2Handhavingsbeleid KBO dossiers in cijfers Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 95 CPVP/CBPL 2013 #Snowden #Prism #Echelon #NSA #GCHQ #Belgacom #Swift #ADIVComitéI #SVStaatsveiligheid #TargetKnowledgeDatabase #ProtectAmericaAct #PatriotAct #Merkelgate #DilmaRousseff #RETRO #Fact-findingcommission #ExecutiveOrder12333 #Mystic #Jean-JacquesQuisquater deel 1 Deel 1 De Privacycommissie Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 7 deel 1 1 Bevoegdheden van de Privacycommissie De bevoegdheden van de Privacycommissie zijn vastgelegd in de Privacywet en de bijhorende uitvoeringsbesluiten. In grote lijnen vertalen deze bevoegdheden zich naar volgende activiteitsdomeinen: •• advies verlenen aan de verschillende nationale wetgevers over wetteksten die verband houden met de bescherming van persoonsgegevens; •• machtigingen verlenen voor de verwerking en het delen van persoonsgegevens en daarbij ook de beveiliging van gegevensverwerkingen evalueren; •• controles en inspecties uitvoeren wat de naleving van de privacywetgeving betreft; •• informatie verstrekken aan zowel het parlement, overheidsinstanties, verantwoordelijken voor gegevensverwerkingen als het grote publiek; •• bijstand verlenen aan al deze doelgroepen om de privacywetgeving correct te doen naleven; •• klachten behandelen over de verwerking van persoonsgegevens; •• samenwerken met zusterorganisaties op Europees niveau en wereldwijd. Meer informatie over elk van deze activiteitsdomeinen is beschikbaar op de website van de Privacycommissie (http://www.privacycommission.be). Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 9 2 Samenstelling van de Privacycommissie Tot en met 2 mei 2013 was de Privacycommissie samengesteld uit. Vaste leden Dhr. Willem Debeuckelaere (N) Voorzitter Dhr. Stefan Verschuere (F) Ondervoorzitter Mevr. Mireille Salmon (F) Raadsheer bij het hof van beroep te Brussel Dhr. Serge Mertens de Wilmars (F) Docent Mevr. Anne Vander Donckt (N) Notaris Dhr. Frank Robben (N)Administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (KSZ) en van het eHealth-platform Dhr. Peter Poma (N) Vrederechter - kanton Brasschaat Mevr. Anne Junion (F) Advocaat Plaatsvervangende leden Mevr. Nicole Lepoivre (F) Erevoorzitter van de arbeidsrechtbank te Hoei Plaatsvervangend voorzitter Dhr. Bart De Schutter (N)Emeritus gewoon hoogleraar aan de Vrije Universiteit Brussel (VUB) Plaatsvervangend ondervoorzitter Dhr. Jan Remans (N) Reumatoloog Dhr. Rudy Trogh (N) Personeelschef bij de Nationale Bank van België (NBB) Dhr. Eric Gheur (F) Zaakvoerder-bestuurder van de bvba Galaxia I.S.E. en consultant voor informatieveiligheid Mevr. Françoise D’Hautcourt (F) Directeur van het «Centre des Technologies pour l’Enseignement» (ULB) Dhr. Frank Schuermans (N) Advocaat-generaal bij het hof van beroep van Gent Dhr. Yves Roger (F)Voorzitter van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid 10 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Op 3 mei 2013 legden onderstaande leden de eed af bij de heer André Flahaut, voorzitter van de Kamer van volksvertegenwoordigers. Het mandaat van achtste plaatsvervanger is vacant na ontslag door de oorspronkelijke mandaathouder, maar een procedure voor invulling van dit mandaat werd opgestart. Vaste leden Dhr. Willem Debeuckelaere (N) Voorzitter Dhr. Stefan Verschuere (F) Ondervoorzitter Mevr. Anne Junion (F) Advocate Dhr. Frank Robben (N) Administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (KSZ) Dhr. Jo Baret (N) Eresecretaris-generaal FOD Justitie Dhr. Eric Gheur (F) Bestuurder-Zaakvoerder Galaxia en buitengewoon hoogleraar Université de Luxembourg Dhr. Gert Vermeulen (N) Hoogleraar Strafrecht Universiteit Gent Mevr. Severine Waterbley (F)Algemeen Adviseur DG Telecommunicatie en Informatiemaatschappij – FOD Economie Plaatsvervangende leden Dhr. Dirk Van Der Kelen (N) Voorzitter rechtbank van eerste aanleg Dendermonde Plaatsvervangend voorzitter Mevr. Mireille Salmon (F) Raadsheer bij het hof van beroep in Brussel Plaatsvervangend ondervoorzitter Dhr. Frank Schuermans (N) Advocaat-generaal bij het hof van beroep van Gent Dhr. Serge Mertens de Wilmars (F) Docent Dhr. Yves Roger (F) Voorzitter van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid Dhr. Ivan Vandermeersch (N) Secretaris-generaal BDMA Dhr. Joel Livyns (F) Docent Frans vreemde taal Achtste mandaat N.N. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 11 3 Structuur van de Privacycommissie De Privacycommissie telt zestien leden. Hun mandaat duurt zes jaar. De voorzitter is een magistraat. De hoge leiding zorgt voor het dagelijks beheer van de Privacycommissie en van haar vertegenwoordiging. De Privacycommissie omvat sectorale comités. De Privacycommissie wordt ondersteund door een secretariaat. Meer informatie over de structuur en de werking van de Privacycommissie en haar secretariaat is beschikbaar op de website http://www.privacycommission.be/nl in de rubriek “Over CBPL”. 12 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 4 Bestuursplan van de Privacycommissie Het bestuursplan beschrijft de bevoegdheden en belast de voorzitter met opgesteld. Beraadslagingen worden door een pool deskundige juristen voorbereid en de eenvormigheid/consistentie van de voorstellen van beslissingen wordt door een secretaris-jurist bewaakt. •• de hoge leiding van de Privacycommissie; •• het bepalen van zijn beleid; •• de vertegenwoordiging van de Privacycommissie op nationaal en De activiteiten van het Statistisch Toezichtscomité werden verzekerd internationaal niveau; door de Privacycommissie zelf, overeenkomstig artikel 16 van het het dagelijks beheer van de Privacycommissie en de leiding van de Koninklijk Besluit van 7 juni 2007, waarin bepaald is dat de Privacy- diensten via delegatie aan de administrateur; commissie de bevoegdheden van het comité uitoefent totdat in de het voorzitterschap van de vergaderingen van de Privacycommissie samenstelling ervan is voorzien. •• •• of deelgroepen; •• het voorzitterschap van rechtswege van de sectorale comités, 4.2 Informatie aan het publiek en in voorkomend geval coördinatie tussen de voorzitters van de verscheidene sectorale comités. Een van de strategische doelstellingen van de Privacycommissie in haar bestuursplan is dat ze wil bijdragen aan betere informatie voor Belangrijk in 2013 waren onderstaande punten. 4.1 Integratie van de sectorale comités het publiek (verantwoordelijken voor de verwerking en datasubjecten). Enerzijds antwoorden de diensten van de afdeling Externe Betrekkingen op vragen om informatie, anderzijds wil de Privacycommissie via actieve communicatie informatie ter beschikking stellen van het Krachtens artikel 31bis Privacywet worden de specifieke bescher- publiek. mingsorganen die reeds bij wet waren opgericht, en de specifieke beschermingsorganen die de wetgever in de toekomst nodig acht of Deze voornemens is in te stellen in een aantal domeinen, geïntegreerd in de actieve communicatie gebeurt http://www.privacycommission.be Privacycommissie. http://www.ikbeslis.be. Ook in 2013 was het doel van de website ‘ik en via de de hoofdwebsite kleinere broer/zus beslis’ om kinderen en jongeren bewust te maken van het feit dat ze Op dit ogenblik kan gewag worden gemaakt van zes opgerichte bij hun activiteiten online hun privacy kunnen beschermen als ze dat sectorale comités, waarvan er nog één moet worden samengesteld: wensen. De inhoud is erop gericht jongeren te helpen bij het ontwikkelen van een privacy-vriendelijke attitude, voor zichzelf maar ook ten •• het Sectoraal comité van de Sociale Zekerheid en van de Gezond- aanzien van de anderen. In 2013 werd de website grafisch en inhou- heid (SC SZ&G) met twee afdelingen, nl. de afdeling “Sociale Zeker- delijk vernieuwd en aangevuld met nieuwe teksten. Maar onder meer heid” en de afdeling “Gezondheid”; via de deelname aan een aantal academische onderzoeksgroepen •• het Sectoraal comité van het Rijksregister (SC RR); zoals EMSOC en SPION , werd het voor het ‘ik beslis’-team stilaan •• het Sectoraal comité voor de Federale Overheid (SC FO); duidelijk dat er meer nodig is om jongeren bewust te maken van hun •• het Sectoraal comité van de Kruispuntbank van Ondernemingen privacy. Wat eerst begon als een website voor jongeren, evolueerde in (SC KBO); 2012 en 2013 naar een heus ‘ik beslis’-project, waarbij volop ruimte •• het Sectoraal Toezichtscomité Phenix (SC Phenix); is voor meerdere acties en initiatieven. Het ondersteunend ik beslis”- •• het Statistisch Toezichtscomité (SC STAT). team bestaat uit een groepje medewerkers van de Privacycommissie, allen met verschillende achtergrond maar met één gemeenschappe- Voor het Statistisch Toezichtscomité werden de kandidaturen lijke overtuiging, jongeren helpen en stimuleren bij de ontwikkeling van ontvangen, maar werd de aanstellingsprocedure nog niet afgerond. hun privacyreflex. Voor het Sectoraal comité van het Rijksregister en het Sectoraal Toneelstuk Net op ‘t Net met bijhorend lespakket comité voor de Federale Overheid liep het mandaat van de leden af in 2013. De procedure voor de aanstelling en beëdiging van nieuwe Het ‘ik beslis’-project werd opgenomen als onderzoeksopdracht externe leden kon niet afgewerkt worden voor eind 2013. actuele gevalstudies voor de masterstudenten communicatiewetenschappen van de VUB. Dit onderzoek resulteerde in een aantal De oude leden verzekerden de continuïteit van de werking van deze voorstellen van budget-neutrale en originele projecten. Het ‘ik beslis’ sectorale comités. team weerhield uit die voorstellen een theatervoorstelling over privacybescherming en bewustwording van privacy. Er werd gezocht naar Voor elk van de sectorale comités, uitgezonderd het Secto- een toneelgezelschap gespecialiseerd in jeugdtheater dat in opdracht raal Toezichtscomité Phenix, werd een volledig vergaderschema van de Privacycommissie een toneelstuk zou schrijven over online Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 13 activiteiten en privacy, maar geënt op de leefwereld van kinderen van te communiceren en na te gaan of zijn doelpubliek en doelstelling het basisonderwijs. Al gauw bleek dat Paco Producties zeer bereid werd bereikt. was een geheel nieuw theaterstuk te schrijven gebaseerd op de verhalen van de ‘ik beslis’-website. Hun voorwaarde was echter dat met het theaterstuk een lespakket zou samengaan. Door hun voeling 4.3Ondersteuning van de Privacycommissie en de sectorale comités met de scholen waren zij ervan overtuigd dat de scholen alleen op die manier enthousiast zouden intekenen. De opvoering van het toneel- Het secretariaat biedt ondersteuning aan de Privacycommissie en stuk “Net op ’t Net” ging van start in september 2013 en werd al vele de sectorale comités onder de vorm van voorbereiding en vooraf- keren geboekt. De reacties vanuit de scholen zijn zeer positief en ook gaande analyses. De kwaliteit van die ondersteuning is onder meer de leerlingen blijken heel erg mee te leven met de realistische, online- te danken aan de snelheid en volledigheid waarmee de commissa- avonturen van de personages. rissen worden ingelicht over voorbereidende werken. Daartoe wordt gebruik gemaakt van een applicatie waarmee adviesaanvragen van bij Lespakket voor het basisonderwijs creatie van het dossier tot verzending van het definitieve advies online beschikbaar kunnen worden gemaakt aan alle commissarissen en alle Het ‘ik beslis’-team werkte een volledig lespakket uit dat zowel kadert binnen ICT-educatie, het vak mediawijsheid en wereldoriëntatie. In het lespakket “Jong en bewust van mijn privacy” werd rekening medewerkers van het secretariaat. 4.4 Internationale samenwerking gehouden met de leeftijdseigenschappen van kinderen uit de 3de graad van het basisonderwijs. Het is opgebouwd rond drie delen. Een Het voorzitterschap en het secretariaat namen deel aan de verschil- eerste deel draait rond het concept privacy, het tweede deel is het lende geïnstitutionaliseerde internationale werkgroepen en vergade- komisch, educatief toneelstuk “Net op ’t Net” en het derde deel moet ringen. De jaarlijkse lenteconferentie vond plaats in Luxemburg en jongeren bewust maken van hun privacy bij onlineactiviteiten en van de wereld (herfst)conferentie vond plaats in Polen. Veel aandacht de mogelijkheid die te beschermen als ze dat wensen. Dit lespakket ging naar de voorbereiding van de nieuwe regelgeving die de huidige wordt nu uitgetest in een basisschool, die bereid was te fungeren als Richtlijn 95/46/EG eventueel zal vervangen. Uitgebreidere informatie proefschool. De lessen zullen worden aangepast naar de bevindingen daarover is beschikbaar in het hoofdstuk “Belangrijkste internationale van de leerkrachten van het 5e en 6e leerjaar van de Vrije Basisschool activiteiten van de Privacycommissie”. Kruishoutem. Zij probeerden in november 2013 het eerste en tweede deel uit. 4.5Handhavingsbeleid Inschrijving in Klascement.be Qua handhavingsbeleid moet voor het Europees Centrum voor vermiste en seksueel uitgebuite kinderen worden gemeld dat het in Om meer en directer contact te kunnen hebben met leerkrachten, de Privacywet aangekondigde koninklijk besluit dat de taken van de meldde het ‘ik beslis’-team zich eind 2012 aan als nieuw lid bij Klas- aangestelde voor de gegevensverwerking, de wijze waarop die deze cement.be. Het team leerde deze website kennen via de werkverga- taken moet uitvoeren en de wijze waarop het Centrum verslag dient deringen van het Emsoc-onderzoek. Klascement is een educatieve uit te brengen aan de Privacycommissie, nog steeds niet is uitge- portaalsite, die samen met leerkrachten een klassement uitbouwen vaardigd. met waardevol lesmateriaal. Dit forum is uitgegroeid tot het vertrekpunt voor vele leerkrachten in Vlaanderen èn Nederland. Het team Het secretariaat ontwikkelde initiatieven om de kwaliteit van post geregeld een bijdrage die telkens goed wordt ontvangen en antwoorden te verbeteren in dossiers die kaderen in artikel 13 (voor gewaardeerd. Zo postte het team onder meer lesmateriaal rond de zogenaamde onrechtstreekse toegang tot gegevens verwerkt door aanmaak van een veilig profiel, het taggen van foto’s, aanmaken van politie- en inlichtingendiensten). Het gebrek aan één contactpunt bij een veilig e-mailadres en ook het lespakket “Jong en bewust van mijn de federale politie, dat reeds vorig jaar in het jaarverslag vermeld werd, privacy”. leidt nog steeds tot een lange antwoordtermijn in verschillende van deze dossiers. De ministers van Binnenlandse Zaken en van Justitie Toekenning Trusty label en logo aan Ik Beslis hebben in 2013 een omzendbrief verspreid t.a.v. de politiediensten waarin informatieverstrekking i.v.m. indirecte toegang strikter wordt Op 27 september 2013 werd aan ‘ik beslis’ Trusty-label en bijhorend geregeld. De Privacycommissie zal in 2014 ervaring opdoen over de logo toegekend. Dit label en bijhorend logo staat voor kwaliteits- effecten van deze omzendbrief. volle informatie op maat van kinderen, tieners en jongeren. Het logo staat op brochures, folders en websites die betrouwbare kinder- en jeugdinformatie aanbieden. Als drager van het Trusty-label engageert ‘ik beslis’ zich onder meer om betrouwbare jeugdinformatie te verstrekken, zijn visie en missie helder en open naar de buitenwereld 14 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 4.6 Aangiften en openbaar register Camera’s werden nog steeds in groten getale aangegeven, maar globaal genomen werden minder aangiften voor gegevensverwerkingen geregistreerd in 2013. Precieze cijfergegevens zijn beschikbaar in het hoofdstuk “Activiteiten van de Privacycommissie in cijfers”. 4.7Informatiebeveiliging In 2012 vaardigde de Privacycommissie haar “richtsnoeren voor begunstigden van machtigingen” uit als aanvulling op haar “referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens”. Ze vervolledigde dit beveiligingskader begin 2013 met aanbeveling nr. 01/2013 van 21 januari 2013: aanbeveling uit eigen beweging betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken (zie 5.7.9). Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 15 5Belangrijkste nationale activiteiten van de Privacycommissie 5.1Gezondheid 5.1.2 Advies nr. 21/2013 van 5 juni 2013 5.1.1Advies nr. 20/2013 van 5 juni 2013 en nr. 26/2013 van 17 juli 2013 •• Preventieve gezinsondersteuning; •• Oprichting “Huizen van het Kind”. •• Afschaffing van de SIS-kaart; Het voorontwerp van decreet had als doel en ambitie om inhoudelijk •• Controle van sociaal verzekerden. en organisatorisch het maximum uit de preventieve gezinsondersteuning te halen, door netwerken op te richten (“Huizen van het Kind” De Privacycommissie werd om advies verzocht omtrent een voor- genaamd) waarin het diverse aanbod wordt samengebracht, afge- ontwerp van wet dat voorzag in de afschaffing van de sociale iden- stemd op de lokale noden en behoeften en maximaal toegankelijk titeitskaart (“SIS-kaart”). De SIS-kaart werd gebruikt om sociaal (herkenbaar) gemaakt. verzekerden te identificeren en hun statuut in de ziekteverzekering te controleren. Door de afschaffing van de SIS-kaart verdwijnen deze Het was echter geenszins de bedoeling om op het niveau van de doelstellingen niet, maar worden ze op een andere manier gereali- Huizen van het Kind een gecentraliseerde databank op te richten van seerd. de dossiers van de verschillende actoren voor hun aanbod inzake preventieve gezinsondersteuning (hulpverlening/zorgverstrekking). Wat het luik “identificatie” betreft, wordt het Belgisch elektronisch identiteitsbewijs (de elD, de KidsID, de elektronische identiteitskaart De enige verwerking van persoonsgegevens waarin het voorontwerp voor niet-Belgische onderdanen van de Europese Unie, de elektroni- van decreet voorzag, wordt door Kind en Gezin verricht op basis sche verblijfstitel voor onderdanen van een land buiten de Europese van de gegevens meegedeeld door de actoren werkzaam binnen de Unie) gebruikt. Degenen die geen aanspraak kunnen maken op een Huizen van het Kind. Doelstelling is de handhaving van erkennings- elektronisch identiteitsbewijs, alsook alle kinderen jonger dan twaalf en subsidievoorwaarden enerzijds, en wetenschappelijk en statistisch jaar ontvangen een nieuwe “ISI+-kaart” als identificatiemiddel. onderzoek met het oog op beleidsvoorbereiding en –evaluatie anderzijds. Wat het luik “statuut in de ziekteverzekering” van de sociaal verzekerde betreft, wordt dit statuut achterhaald door een raadpleging van De Privacycommissie had begrip voor het feit dat het niet steeds de gegevensbanken van de respectieve verzekeringsinstellingen. eenvoudig, mogelijk of wenselijk is om in een regelgevend document alle concrete (categorieën) persoonsgegevens te beschrijven die voor In haar advies nr. 20/2013 van 5 juni 2013 gaf de Privacycommissie elk doeleinde zullen worden verwerkt. het voorontwerp van wet een gunstige beoordeling, gelet op het feit dat dit voorontwerp twee onmiskenbare voordelen op het vlak van Aangezien de Privacycommissie in dit geval zelfs geen marginale privacy-bescherming met zich meebracht. Ten eerste worden er geen toetsing kon uitvoeren van de proportionaliteit in de zin van artikel gevoelige gegevens meer op elektronische kaarten geplaatst (die 4, §2, 3 van de Privacywet, leek het aanbevolen dit dan minstens in bij verlies of diefstal door onbevoegden zouden kunnen geconsul- een later stadium te laten gebeuren door een sectoraal comité van teerd worden). Ten tweede zijn de in deze context verwerkte gege- de Privacycommissie, of een andere instantie of toezichthouder met vens meer up to date (nauwkeuriger), aangezien ze rechtstreeks in een machtigingsbevoegdheid in het kader van de toepassing van de de authentieke bronnen bij de ziekenfondsen geconsulteerd worden Privacywet en haar uitvoeringsbesluit van 13 februari 2001. (i.p.v. op de kaart). De Privacycommissie drong er in haar advies dan ook op aan erin te Tegelijk maakte de Privacycommissie in haar advies nr. 20/2013 een voorzien dat voor elke mededeling van persoonsgegevens aan Kind aantal fundamentele opmerkingen die in hoofdzaak verband hielden en Gezin een machtiging wordt gevraagd aan het sectoraal comité met het feit dat het voorontwerp te vaag was op essentiële punten. dat/de toezichthouder die daarvoor bevoegd verklaard is in het voor- Enkele weken later werd haar omtrent dezelfde problematiek een ontwerp. ontwerp-KB ter advies voorgelegd, waarin meerdere leemtes die de Privacycommissie had aangekaart, werden opgevuld (zie advies nr. Dit neemt uiteraard niet weg dat het ook steeds toekomt aan de 26/2013 van 17 juli 2013). verantwoordelijke voor de verwerking (Kind en Gezin) om enkel die persoonsgegevens te verwerken die noodzakelijk zijn in het kader van het doeleinde waarvoor ze worden ingezameld. 16 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 De Privacycommissie adviseerde gunstig op voorwaarde dat volgende bevoegde sectorale comités om de individualisering van patiënten- aandachtspunten in het voorontwerp zouden worden verwerkt: gegevens door het FAGG te vergemakkelijken; •• •• •• beval zij aan om in de mogelijkheid te voorzien om personen op te de verschillende doeleinden van de gegevensverwerking moeten sporen die niet over een identificatienummer van de sociale zeker- duidelijk worden omschreven; heid beschikken, bijvoorbeeld omdat zij geen in België ingeschreven de verantwoordelijke voor de gegevensverwerking (Kind en Gezin) sociaal verzekerden zijn. moet de te verwerken categorieën van gegevens en de vorm steeds bepalen met respect voor de Privacywet en haar uitvoeringsbesluit; •• 5.1.4 Advies nr. 38/2013 van 4 september 2013 elke “mededeling” van persoonsgegevens moet vooraf gemachtigd worden door het/de daartoe bevoegde sectoraal comité of toezicht- •• Doorgifte van urgentiegegevens aan de overheid; houder. •• Multifunctionele gegevensinzameling bij ziekenhuizen. 5.1.3 Advies nr. 34/2013 van 17 juli 2013 Dankzij dit ontwerp van koninklijk besluit, voor advies voorgelegd door de minister van Sociale Zaken en Volksgezondheid, zal de overheid •• •• Centralisatie van implanteerbare medische hulpmiddelen en infor- kunnen beschikken over betrouwbare gegevens vanuit de spoedge- matie over implantaties bij personen; vallendiensten in ziekenhuizen, om snel beslissingen en maatregelen Registratie bij het Federaal Agentschap voor Geneesmiddelen en te kunnen nemen: alarmering van de gezondheidsnetwerken, betere Gezondheidsproducten. doorverwijzing naar ziekenhuizen, … De Privacycommissie verstrekte een advies over het voorontwerp van De Privacycommissie vond enerzijds dat het ontwerp van koninklijk wet houdende centralisatie van implanteerbare medische hulpmid- besluit op zich voldoende waarborgen bood wat de bescherming delen (IMH’s) en van inlichtingen betreffende implantaties bij personen van de persoonsgegevens van betrokkenen betreft, maar betreurde bij het Federaal Agentschap voor Geneesmiddelen en Gezondheids- anderzijds dat dit ontwerp niet optimaal inspeelde op de principes van producten (hierna FAGG). De tekst verplicht de distributeurs van IMH’s het actieplan e-gezondheid 2013-2018, namelijk evolutie naar een hun producten te registreren bij het FAGG. Bovendien verplicht het globale, goed gecoördineerde regeling van multifunctionele gegeven- voorontwerp artsen die een implantatie uitvoeren deze te registreren sinzameling bij ziekenhuizen, ter vervanging van de diverse specifieke bij het FAGG en hierbij het identificatienummer of het bisnummer te besluiten die telkens ad-hocgegevensstromen organiseren vanuit de registreren van de betrokken persoon, het geslacht, de postcode, de ziekenhuizen naar de overheid. Evenmin speelde de ontwerptekst identificatie van het implantaat, alsook bijkomende informatie over de volledig in op de bevoegdheden die zijn toegewezen aan de afdeling inplanting (datum, lichaamsdeel enz.). Gezondheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid, die te maken hebben met de aanduiding van de De tekst die voor advies voorlag bepaalde eveneens dat het FAGG exact mee te delen inhoudelijke gegevens en de concrete technische de betrokken personen slechts mag identificeren (bijvoorbeeld via context voor de gegevensinzameling. toegang tot het Rijksregister of de Kruispuntbank van de Sociale Zekerheid) onder zeer strikte voorwaarden (bij hoogdringendheid 5.1.5 Advies nr. 53/2013 van 6 november 2013 of groot gevaar voor personen met een implantaat, of om deze personen te contacteren). In toepassing van het voorontwerp van wet •• Mededeling van statistische gegevens over medische activiteiten vereist. •• TDI-registratie. Het voorontwerp van wet laat de arts die de patiënt opereert even- Het ontwerp van koninklijk besluit gaf in eerste instantie uitvoering aan eens toe onder bepaalde voorwaarden de gegevens van de patiënt artikel 92 van de wet van de op 10 juli 2008 gecoördineerde wet op te raadplegen om meer te vernemen over de implantaten die deze de ziekenhuizen en andere verzorgingsinrichtingen, dat erin voorziet persoon reeds ontving. dat de beheerder van een ziekenhuis alle statistische gegevens over is een machtiging van het Sectoraal comité van de Sociale Zekerheid aan de minister van Volksgezondheid; medische activiteiten (waaronder ook gegevens over behandelingen De Privacycommissie verstrekte een gunstig advies en verheugde er voor problematisch druggebruik) moet meedelen aan de minister die zich over dat het voorontwerp via een wet de essentiële punten van volksgezondheid onder zijn bevoegdheid heeft. de verwerking regelde. Niettemin: Het ontwerp van koninklijk besluit wilde het verder voor de Belgi•• •• oordeelde zij dat de bevoegdheid verleend aan de Koning om de sche overheid mogelijk maken haar engagementen ten aanzien van gegevens van de databank te wijzigen te ruim was; de Europese Unie te respecteren inzake TDI–registratie (“Treatment beval zij aan om hetzij in de wet toegang tot het Rijksregister toe Demand Indicator” – registratie van behandelingsaanvragen), vooral te laten, hetzij te voorzien in een generieke machtiging door de voor de behandeling van (problematisch) druggebruik in algemene en Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 17 psychiatrische ziekenhuizen. Het Wetenschappelijk Instituut Volksge- Het voorontwerp van decreet stroomlijnde gegevensdeling tussen zondheid werd in België belast met het inzamelen van TDI-registraties actoren in de zorg in Vlaanderen en gaf de zorggebruiker vat op deze bij de diverse behandelingscentra, de bundeling ervan en het vervol- gegevensdeling (opt-in, recht op inzage en toegang). Het nieuwe gens overmaken aan het Europees Waarnemingscentrum voor Drugs netwerk voor gegevensdeling creëerde ook een opportuniteit voor en Drugsverslaving. de administratie om automatisch rechten toe te kunnen kennen aan rechthebbende zorggebruikers. De Privacycommissie was van oordeel dat het ontwerp van koninklijk besluit voldoende waarborgen zou kunnen bieden wat de bescher- Hoewel de Privacycommissie het voorontwerp gunstig beoordeelde, ming van de persoonsgegevens van de betrokkenen betreft, op voor- maakte zij toch een aantal fundamentele opmerkingen. Zo zouden waarde dat de variabelen die volgens het koninklijk besluit moeten gegevensuitwisselingen via het netwerk door de afdeling Gezond- worden geregistreerd minstens in een “Verslag aan de Koning” heid van het Sectoraal comité van de Sociale Zekerheid en van de zouden worden toegelicht. Dat zou transparanter zijn naar de burger/ Gezondheid worden gemachtigd en zouden de weigeringen van deze betrokkene toe. De Privacycommissie adviseerde ook dat de mede- afdeling Gezondheid aangevochten kunnen worden bij de Vlaamse deling van gegevens uit de TDI-ziekenhuisregistratie aan derden maar regering (na advies van de Vlaamse Toezichtcommissie). Deze zou kunnen plaatsvinden na voorafgaande machtiging van het Secto- “beroepsmogelijkheid” zou dus impliceren dat de Vlaamse regering raal comité van de Sociale Zekerheid en van de Gezondheid. (met andere woorden de uitvoerende macht) een beslissing van een onafhankelijk sectoraal comité naast zich neer kon leggen. De Priva- 5.1.6 Advies nr. 58/2013 van 27 november 2013 cycommissie stond hier vanzelfsprekend negatief tegenover. •• Uitkeringsverzekering voor zelfstandigen en helpers; Het voorontwerp stelde ook dat het agentschap dat het nieuwe •• Gegevensfluxen tussen ziekenfondsen, RIZIV en verzekeringsinstel- netwerk zal beheren bijkomende beveiligingsregels zou kunnen lingen. uitvaardigen. De Privacycommissie vestigde er de aandacht op dat bepaalde voorzieningen geconfronteerd dreigden te worden met De minister van Sociale Zaken en Volksgezondheid verzocht de regels van verschillende instanties (aangezien sommigen reeds Privacycommissie om advies over het ontwerp van koninklijk besluit onderhevig zijn aan regels van bestaande dienstenintegratoren), die betreffende de verhoogde verzekeringstegemoetkoming, bedoeld niet noodzakelijk coherent waren. Dit diende absoluut vermeden te in artikel 37, § 19 van de wet betreffende de verplichte verzekering worden omdat tegenstrijdige regels de beveiliging evident kunnen voor geneeskundige verzorging en uitkeringen, gecoördineerd op ondermijnen. Om een eenduidige, transparante en gecoördineerde 14 juli 1994 (hierna “het ontwerp”). aanpak uit te bouwen, pleitte de Privacycommissie er dan ook voor om het principe te hanteren dat elke voorziening de regels dient te Het ontwerp wenste een uitkeringsverzekering in te voeren ten voor- volgen van de dienstenintegrator waarmee ze samenwerkt. dele van zelfstandigen en helpers die zijn onderworpen aan de wetgeving houdende inrichting van het sociaal statuut der zelfstandigen, en 5.1.8 Uitbreiding permanente steekproef (EPS) van meewerkende echtgenoten. Het besluit richt een aantal gegevensfluxen in waarin drie actoren •• Rol van het IMA als gebruiker van de EPS; •• Inhoudelijke verrijking van de EPS. een verantwoordelijkheid krijgen: de ziekenfondsen, het RIZIV en de verzekeringsinstellingen. De voornaamste gegevensfluxen zijn een Met artikel 24 van de wet van 19 maart 2013 houdende diverse bepa- proactieve gegevensstroom in 2015 via de KSZ (vergelijking met de lingen inzake gezondheid (I) werd een wettelijke basis gecreëerd voor fiscale inkomsten bekend bij de belastingadministratie), en de verwer- de potentiële uitbreiding van de permanente steekproef (EPS), zowel kingen via normale aanvragen bij de ziekenfondsen. wat toegang en gebruik ervan betreft als inhoud. De Privacycommissie bracht een gunstig advies uit op voorwaarde Bij koninklijk besluit van 9 mei 2007 tot uitvoering van artikel 278 van van aanduiding van de diverse actoren als verantwoordelijke voor de de programmawet (I) van 24 december 2002 werd het Intermutualis- verwerking (mutualiteiten, verzekeringsinstellingen, RIZIV), verduidelij- tisch Agentschap (IMA) gemachtigd een representatieve steekproef king aangaande de appreciatiemarge van de administratie (RIZIV) mbt van de Belgische bevolking samen te stellen uit gecodeerde sociale het bepalen van de gegevens(categorieën) en publiciteit van de even- persoonsgegevens die bij de ziekenfondsen beschikbaar zijn in het tuele beslissingen van RIZIV aangaande de gegevens(categorieën). kader van de verplichte verzekering voor geneeskundige verzorging. Deze EPS is een belangrijk beleidsinstrument bij de studie van de 5.1.7 Advies nr. 63/2013 van 10 december 2013 gezondheidszorg in België, vooral in het kader van uitgavenbeheersing, door een aantal wettelijk aangeduide zorginstellingen. •• Nieuw netwerk voor gegevensdeling in de zorg; •• Automatische toekenning van rechten aan zorggebruikers. 18 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Het nieuwe artikel 24 maakt het eerst en vooral mogelijk om via Het voorontwerp beoogde de uitvoering van artikel 21 van de orga- koninklijk besluit ook andere instellingen of verenigingen (naast RIZIV, nieke wet inlichtingen- en veiligheidsdiensten. Dit artikel bepaalt dat FOD Volksgezondheid, FOD Sociale Zekerheid, KCE, Federaal Plan- de koning, na advies van de Privacycommissie, de termijn vastlegt bureau en IMA) toegang te verlenen tot de EPS, op voorwaarde dat voor de bewaring van de persoonsgegevens die door de inlichtingen- hun wettelijke opdrachten dit rechtvaardigen en na advies van de en veiligheidsdiensten werden verwerkt, na de laatste verwerking. Privacycommissie. Bij koninklijk besluit van 21 maart 2013 tot wijziging van het koninklijk besluit van 9 mei 2007 tot uitvoering van artikel Het beginsel vastgelegd in artikel 21 van de organieke wet inlich- 278 van de programmawet (I) van 24 december 2002 werd het IMA tingen- en veiligheidsdiensten stelt dat persoonsgegevens die door reeds toegevoegd aan de lijst van overheidsinstellingen die toegang de bedoelde diensten werden verwerkt, worden bewaard voor een kunnen hebben tot de EPS. In advies nr. 23/2012 formuleerde de duur die niet langer mag zijn dan noodzakelijk voor de doeleinden Privacycommissie een aantal suggesties over deze nieuwe rol van waarvoor ze werden opgeslagen. Het gaat hier om een toepassing het IMA, als gebruiker van de EPS (naast zijn rol als beheerder), o.m. van de voorschriften van artikel 4, § 1, 5° van de Privacywet die bijkomende garanties wat de bescherming van persoonsgegevens verbiedt dat onjuiste, onvolledige, niet-relevante of in het licht van het betreft. Deze garanties zijn quasi integraal in de tekst van het konink- doeleinde niet ter zake dienende gegevens te verwerken. Er kan dan lijk besluit overgenomen. Het betreft o.a. een effectieve en afdoende ook geen sprake van zijn ze te bewaren en er kan geen enkele termijn scheiding van beide functies binnen het IMA, het bijhouden van een voor de verwerking worden bepaald. login-journaal en een interne validatie door de consulent inzake informatiebeveiliging en bescherming van de persoonlijke levenssfeer. De Privacycommissie benadrukte dat de voorziene termijn moet worden begrepen als een maximale bewaringstermijn. De bedoeling Verder werd in de mogelijkheid voorzien om de EPS inhoudelijk te van het koninklijk besluit is een procedure vastleggen voor systema- verrijken en al dan niet permanent aan te vullen met bijkomende tische vernietiging, waarbij de inlichtingen- en veiligheidsdiensten de informatie en gegevens die beschikbaar zijn buiten het kader van noodzaak zullen evalueren van de bewaring van gegevens die sedert de EPS. Zo zou de EPS min of meer soepel up-to-date kunnen een bepaalde tijd niet meer werden gebruikt. Gelet op de opdrachten worden gehouden, met niettemin aandacht voor de bescherming van van de inlichtingen- en veiligheidsdiensten en de vastgelegde speci- persoonsgegevens. fieke bewaringstermijnen wat de veiligheidsenquêtes betreft, hebben de bedoelde gegevens betrekking op gebeurtenissen, groeperingen De inhoudelijke verrijking van de EPS zou mogelijk worden op 4 en personen die rechtstreeks de belangen van ons land bedreigen. niveaus: Het voorontwerp stelde een bewaringstermijn van 50 jaar voorop, die •• aanvulling met niet-persoonsgebonden statistische gegevens of door de aanvrager uitgebreid werd verantwoord. indicatoren van demografische en socio-economische aard, waarbij •• wordt nagegaan of het resultaat redelijkerwijs niet leidt tot identifi- De Privacycommissie vestigde de aandacht van de aanvrager op het catie van de betrokkene; feit dat de verantwoordelijke voor de verwerking verplicht is gedu- aanvulling met andere persoonsgegevens waarover de verzeke rende de gehele bewaarperiode, de proportionaliteit en de relevantie ringsinstellingen beschikken maar die niet beschikbaar zijn binnen van de gegevens voortdurend te beoordelen (artikel 4, §1, 3° van de de EPS, en dit na machtiging van het Sectoraal comité van de Privacywet). Sociale Zekerheid en van de Gezondheid; •• •• eenmalige verrijking met andere persoonsgegevens, en dit na De verantwoordelijke voor de verwerking dient immers ook vóór die machtiging van het bevoegde sectorale comité; termijn is afgelopen na te gaan of de verwerkte gegevens juist, toerei- permanente verrijking met andere persoonsgegevens via koninklijk kend, ter zake dienend en niet overmatig zijn ten opzichte van de besluit, na advies van de Privacycommissie. nagestreefde doeleinden. Het gebruik van de (uitgebreide) EPS blijft onder controle staan van Het ontwerp werd goedgekeurd mits rekening zou worden gehouden een technische commissie waarvan een vertegenwoordiger van de met deze opmerkingen. Privacycommissie deel uitmaakt. 5.2 Politie, justitie en veiligheid 5.2.1 Advies nr. 07/2013 van 20 februari 2013 5.2.2 Advies nr. 47/2013 van 2 oktober 2013 •• Voorwaarden voor de verwerking van gegevens door de politie; •• Nieuw statuut van het Controleorgaan op het politioneel informatiebeheer. •• Bewaringstermijn van persoonsgegevens verwerkt door inlichtingen- en veiligheidsdiensten; •• Procedure voor systematische vernietiging van gegevens. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 19 Het voorontwerp tracht de artikelen 44/1 tot 44/11 van de wet van Categorieën van gegevens 5 augustus 1992 op het politieambt (hierna WPA) te vervangen die betrekking hebben op het politioneel informatiebeheer. Wat de types gegevens aangaat, stelde de Privacycommissie voor de verwijzingen naar “basisregistraties” (bekentenis, onafhanke- Het voorontwerp wijzigt het politioneel informatiebeheer niet zoals het lijke convergerende getuigenissen, op heterdaad betrapt,...) recht- vandaag functioneert, het integreert enkel de nauwkeurig omschreven streeks op te nemen in de tekst van het voorontwerp, om het risico werkingsmodaliteiten rechtstreeks in de wet. te vermijden dat er een onaanvaardbare onduidelijkheid zou ontstaan over de voorwaarden om verdachten van een strafbaar feit in de ANG De huidige van kracht zijnde beschikkingen delegeren de modali- te registreren. Deze registratiecriteria zijn momenteel opgenomen in teiten voor de verwerking van informatie en persoonsgegevens aan MFO-3 en stonden in het ontwerp van koninklijk besluit dat aan de de Koning en dit krachtens artikel 44/4 van de WPA. Dit koninklijk Privacycommissie in 2007-2008 werd voorgelegd. besluit is evenwel na 15 jaar nog altijd geen feit. De verwerkingsmodaliteiten zijn in dit geval voorwerp van ministeriële richtlijnen waarvan Verantwoordelijkheid de inhoud vertrouwelijk is (met name richtlijn MFO-3). Er bestonden geen regels inzake bewaring en deze zijn nu specifiek bepaald. Het voorontwerp bepaalt specifieke verantwoordelijken voor de bijzondere gegevensbanken (korpschefs,...) maar niet voor de ANG De komst van deze wet wordt dus gezien als een positieve stap, ook en de basisgegevensbanken. Het zou zinvol zijn de rechtstreekse al zijn er opmerkingen over de inhoud van de tekst. oversten van de politiediensten verantwoordelijk te maken voor de registraties waarmee hun diensten werken. Het voorontwerp bevat enerzijds regels over het politioneel informatiebeheer en anderzijds over het nieuw statuut van het Controleor- Koppeling gaan als “sectoraal comité sui generis”, dat afhangt van de Privacycommissie. Er komen ministeriële richtlijnen aan die een kader moeten vastleggen voor de koppeling van de verschillende politionele gegevensbanken Regels inzake beheer of voor de koppeling met andere gegevensbanken waartoe de politiediensten wettelijk toegang hebben. De Privacycommissie vroeg Deze regels bepalen de algemene principes, categorieën gegevens- vooraf te worden geraadpleegd. banken, de categorieën persoonsgegevens die daarin opgeslagen kunnen worden, de verantwoordelijkheid voor de verwerkingen, de Regels inzake bewaring koppeling tussen de gegevensbanken, de regels voor de bewaring en toegang tot de gegevens door de verschillende partners in de straf- De aanvrager heeft een automatische archiveringstechniek (ANG) rechts- en veiligheidsketen. In het ontwerpadvies wordt een aantal of uitwissingstechniek (basisgegevensbank) op punt gesteld die opmerkingen gegeven over elk van deze onderdelen. Hieronder wordt de toegang tot de gegevens onmogelijk maakt of inperkt, na het er een aantal van weergegeven: verstrijken van de voorziene termijnen voor de betrokken gegevensbank en politionele opdrachten. Het zou wenselijk zijn dat dit beginsel Algemene principes van technische automatisering opgenomen werd in de tekst van de wet. De Privacycommissie was verheugd over een zeer positief punt: er wordt niet langer verwezen naar het onduidelijke concept “concreet Er wordt een kortere termijn bepaald voor de niet concrete feiten die belang”, maar naar de proportionaliteitscriteria van artikel 4 van de het voorwerp uitmaken van een informatierapport in de ANG, maar Privacywet (toereikendheid terzake dienende en niet buitensporige vreemd genoeg niet voor de basisgegevensbanken. gegevens de toepassing van administratieve of gerechtelijke politie). Er wordt voorzien in criteria voor inkorting of verlenging van de Categorieën van gegevensbanken termijnen voor bewaring in de ANG. Met betrekking tot de termijnen worden de regels voor opschorting van de bewaartermijn in de ANG Elk type van gegevensbank (algemeen (ANG), basisgegevensbank, gebaseerd op beslissingen van een overheid (lopend onderzoek of te bijzondere) streeft specifieke doeleinden na, zoals vermeld in het nemen maatregelen), zonder erop toe te zien dat de mededeling over voorontwerp. Wat de basisgegevensbanken betreft, kan dit doeleinde het bijwerken van deze beslissingen is verzekerd. niet worden beschouwd als een specifiek doeleinde, aangezien het gaat over een van de algemene doeleinden van de verwerking van de Beveiliging van de gegevens persoonsgegevens door de politiediensten. Op het vlak van beveiliging van de gegevens wordt de figuur van een consulent inzake beveiliging en gegevensbescherming geschapen. 20 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Deze wordt enkel geacht een rol te spelen op het vlak van beveiliging. 5.2.3 Advies nr. 55/2013 van 6 november 2013 Deze consulent is de contactpersoon voor de Privacycommissie, maar er wordt geen enkele specifieke bepaling vastgelegd in verband •• Vervanging informatiesysteem Phenix door Just-X; met de procedure van artikel 13 van de Privacywet (onrechtstreekse •• Gebruik rijksregisternummer voor identificatie in Just-X. toegang door de burgers tot hun gegevens in de politionele gegevensbanken). Op 6 november 2013 bracht de Privacycommissie een gunstig advies onder voorbehoud uit over het wetsontwerp betreffende de wijziging Toegang tot de gegevens van sommige bepalingen met het oog op de elektronische procedure. Dit voorontwerp van wet vervangt het informatiesysteem “Phenix” De Privacycommissie noteerde dat aan de lijst van nationale over- door het informaticasysteem “Just-X”. heden van de strafrechts- en veiligheidsketen die gebruik kunnen maken van de rechtstreekse bevraging van de ANG, de Cel voor De Privacycommissie verstrekte een gunstig advies over de vaststel- Financiële Informatieverwerking (CFI) en de onderzoeks- en opspo- ling van de verantwoordelijke voor de verwerking in de persoon van ringsdienst van de Administratie der douane en accijnzen worden het beheerscomité, maar de Privacycommissie vestigt de aandacht toegevoegd. De Memorie van Toelichting vermeldt niet waarom de van de Minister op het feit dat er dient over gewaakt te worden dat CFI toegevoegd wordt. het comité een volwaardige juridische entiteit vormt die onafhankelijk is van de uitvoerende macht. Het voorontwerp voorziet in zijn artikel 32, §4 in een reciprociteit in de gegevensmededelingen tussen de politiediensten en vermelde De Privacycommissie bracht tevens een gunstig advies uit over de Belgische openbare overheden, publieke organen of instellingen of de afschaffing van het Toezichtscomité. De bevoegdheden zullen worden instellingen van openbaar nut. Dergelijke mededelingen naar de poli- overgeheveld naar de Privacycommissie en dit kadert in het oogmerk tiediensten zouden moeten worden gemachtigd door het Sectoraal van de Privacycommissie om het aantal Sectorale comités zo klein comité voor de Federale Overheid behalve indien de mededelingen mogelijk te houden. door deze verschillende structuren daarvan vrijgesteld zijn. Het voorontwerp van wet kiest ervoor het identificatienummer van Het regime voor internationale mededelingen gaat verder dan het het Rijksregister te gebruiken als identificatiemiddel voor partijen in huidige regime aangezien het voorziet in gegevensmededelingen aan Phenix (“Just-X”). De Privacycommissie heeft deze keuze goedge- diensten van landen ten aanzien van wie de Belgische openbare over- keurd omdat deze ter zake dienend lijkt en er veiligheidsmaatregelen heden of politiediensten geen verplichtingen hebben krachtens een gepland zijn die een tegengewicht vormen voor het feit dat de justi- regel van internationaal recht waaraan België gebonden is. Voor niet- tiële gegevens gecentraliseerd zullen zijn in Just-X (het nummer kan Europese landen zijn enkel de regels inzake de internationale door- niet als zoekopdracht worden gebruikt in Just-X, het nummer wordt gifte van de artikelen 21 en 22 van de Privacywet van toepassing. niet op de procedurestukken vermeld en is enkel toegankelijk voor Deze mededelingen moeten ten minste het voorwerp uitmaken van gemachtigde personen...) een koninklijk besluit, na advies van de Privacycommissie. 5.2.4 Adviezen betreffende DNA-gegevensbanken Nieuw statuut voor het Controleorgaan op het politioneel informatiebeheer •• Identificatieprocedure via DNA-analyse in strafzaken; •• De internationale uitwisseling van DNA-profielen voor opsporing en Het voorontwerp voorziet in een nieuw statuut van het Controleor- vervolging van strafbare feiten. gaan als “permanent sectoraal comité sui generis”, dat afhangt van de Privacycommissie, teneinde diens doeltreffende werking en onaf- De Senaat verzocht om advies voor vijf verschillende wetsvoor- hankelijkheid te garanderen. stellen over het gebruik van DNA-gegevensbanken door justitie. Deze wetsvoorstellen werden behandeld in adviezen nr. 27/2013 van Echter, er duiken te veel grijze zones en onzekerheden op omtrent dit 17 juli 2013 en nr. 39/2013 van 4 september 2013. nieuwe statuut voor het controleorgaan, vooral wat betreft de samenstelling en hoofdzakelijk wat betreft de concrete werking. Het wetsvoorstel tot wijziging van artikel 8 van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse, Het advies was gunstig voor wat betreft de regels betreffende het teneinde de internationale uitwisseling van DNA-gegevens te verge- informatiebeheer op voorwaarde dat rekening wordt gehouden met makkelijken (S. 5 1831) betreft het gelijktrekken van de procedure de gemaakte opmerkingen, maar de bezwaren van de Privacycom- voor de internationale uitwisseling van DNA-profielen. De Privacycom- missie met betrekking tot het nieuwe statuut van het Controleorgaan missie meende dat het wetsvoorstel in essentie een technisch-orga- waren van dien aard dat zij een negatief advies uitbracht over het nisatorische kwestie betreft, er wordt immers geen ruimere toegang tweede deel van het ontwerp van koninklijk besluit. tot onze DNA-profielen gegeven. De Privacycommissie oordeelde Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 21 evenwel dat de controlebevoegdheid van de aangestelde voor gege- nieuw opgesteld DNA-profielen met de DNA-gegevensbank “Interve- vensbescherming expliciet uitgebreid moet worden tot internationale nanten”, zoals voorgesteld in amendement nr. 9, was ontoereikend uitwisseling en dat hierover verslag moet worden uitgebracht aan de gemotiveerd gelet op de onderscheiden belangen die spelen. De Privacycommissie. transparantie naar intervenanten toe was verre van optimaal geregeld in het wetsvoorstel, zowel wat het tijdstip van de kennisgeving betreft Het wetsvoorstel tot wijziging van de wet van 22 maart 1999 betref- als de inhoud. fende de identificatieprocedure via DNA-onderzoek in strafzaken met het oog op de oprichting van een DNA gegevensbank “Vermiste Het wetsvoorstel tot wijziging van het Wetboek van strafvordering personen” (S. 5 1633) is bedoeld om de zoektocht naar vermiste en de wet van 22 maart 1999 betreffende de identificatieprocedure personen en de identificatie van onbekende overledenen te onder- via DNA-onderzoek in strafzaken, met het oog op de invoering van steunen. een DNA gegevensbank “Inverdenkinggestelden en verdachten” (S. 5 1576) had tot doel een DNA-gegevensbank op te richten waarin De Privacycommissie achtte de oprichting van een DNA-gege- de DNA-profielen van bepaalde inverdenkinggestelden en verdachten vensbank “Vermiste personen” in principe legitiem. De definitie van worden opgeslagen wanneer sprake is van bepaalde ernstige feiten. vermiste zou moeten worden aangepast om enkel “onrustwekkende In tegenstelling tot wat vandaag het geval is, wilde het voorstel ook verdwijningen” te viseren, ongeacht de duur van de verdwijning. bij een buitenvervolgingstelling of een vrijspraak profielen bewaren. DNA-profielen vrijwillig afgestaan door bloedverwanten kunnen enkel gebruikt worden om de verdwijning op te lossen, met inbegrip van De indieners van het wetsvoorstel dienden een amendement tot een onderzoek naar eventuele betrokkenheid van het familielid. De schrapping van de categorie “verdachten”. Mits dit amendement zou Privacycommissie meende dat familieleden van vermisten op hun worden aangenomen en mits rekening zou worden gehouden met verzoek gewist moeten worden uit de databank. Vermisten dienen, een aantal opmerkingen bracht de Privacycommissie een gunstig eens teruggevonden, geïnformeerd te worden over de opname van advies uit. In het bijzonder dient een profiel gewist te worden zodra hun DNA-profiel in de databank. Deze kennisgeving moet duidelijke een beslissing tot vrijspraak in kracht van gewijsde is gegaan en informatie bevatten over alle vergelijkingen met alle DNA-gegevens- dienen de bepalingen met betrekking tot de kennisgeving aangepast banken, wat in het voorliggend wetsvoorstel niet het geval is. te worden. Het wetsvoorstel tot uitbreiding van de regeling van de verplichte De Privacycommissie achtte de verplichting om de DNA-profielen DNA-afname bij bepaalde groepen van veroordeelden (S. 5-844) in de voorgestelde nieuwe DNA-gegevensbanken enkel op te slaan strekt ertoe iedereen die veroordeeld wordt tot een effectieve gevan- onder hun DNA-codenummer een goede organisationele maatregel genisstraf van minimum drie jaar op te nemen in de DNA-gegevens- ter beveiliging van de gegevens. bank “Veroordeelden” – bovenop degenen opgenomen op grond van de lijst van misdrijven uit de huidige wet. Voor de Privacycommissie De Privacycommissie betreurde evenwel dat de wettelijk geldende werden onvoldoende inhoudelijke elementen aangedragen ter moti- privacywaarborgen voor een deel dode letter zijn gebleven. Zo is er vering van de gekozen drempel van 3 jaar effectieve gevangenisstraf nog steeds geen aangestelde voor de gegevensbescherming aange- om de proportionaliteit van het voorstel te beoordelen. Bijgevolg steld bij het NICC, hoewel de verplichting al sinds 1999 in de wet is besloot de Privacycommissie tot een negatief advies. ingeschreven. Het wetsvoorstel tot wijziging van het Wetboek van strafvordering en 5.2.5Evaluatie van advies nr. 20/2009 van 1 juli 2009 van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-onderzoek in strafzaken, met het oog op de oprichting van een DNA gegevensbank “Intervenanten” in strafzaken (S. 5-1634) •• Dataretentie in de telecomsector. kaderde in de beheersing van het risico op contaminaties in het DNA-onderzoek door personen (intervenanten) die door hun hoeda- De Privacycommissie bracht op 1 juli 2009 een voorwaardelijk positief nigheid betrokken zijn bij de opsporing, analyse en verwerking van advies uit inzake het voorontwerp van wet en het ontwerp van konink- DNA-materiaal. Het wetsvoorstel vermijdt dat telkens opnieuw van lijk besluit inzake dataretentie, en het ontwerp van koninklijk besluit dezelfde intervenant DNA-materiaal moet worden afgenomen om een inzake de medewerkingsplicht. DNA-profiel op te stellen. Inmiddels verschenen voormelde wetteksten in het Belgisch StaatsDe Privacycommissie achtte de oprichting van een DNA-gegevens- blad onder de vorm van de Wet van 30 juli 2013 houdende wijziging bank “Intervenanten” in principe legitiem, maar had enkele bemer- van de artikelen 2, 126 en 145 van de Wet van 13 juni 2005 betref- kingen betreffende de uitwerking ervan in het wetsvoorstel, in het fende de elektronische communicatie en van artikel 90decies van het bijzonder de wijze waarop de databank bevraagd zal worden – Wetboek van Strafvordering, en het Koninklijk Besluit tot uitvoering punctueel of systematisch. Een systematische vergelijking van elk 22 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 van artikel 126 van de Wet van 13 juni 2005 betreffende de elektroni- Verder voorziet het voorontwerp in een mogelijkheid voor de Koning sche communicatie. om de plaatsing van bewakingscamera’s, de opname van beelden en de bewaring ervan gedurende één maand op te leggen om veilig- Uit de evaluatie van voormelde wet van 30 juli door de Privacycom- heidsredenen., wat diverse vragen oproept. Momenteel is de bewa- missie bleek dat haar advies goed werd opgevolgd door de wetgever. ringstermijn immers maximaal één maand, en is bewaring bovendien Haar opmerkingen werden helemaal of minstens gedeeltelijk opge- niet verplicht. volgd. Tot slot zijn er een aantal onduidelijkheden. Het voorontwerp maakt Ook uit de evaluatie van het voormelde koninklijk besluit bleek dat bijvoorbeeld noch melding van camera’s die geluidsfragmenten de opmerkingen van de Privacycommissie goed werden opgevolgd. kunnen opnemen, noch van andere toepassingsgevallen van camera’s (bijvoorbeeld thermische camera’s), die de politiediensten mogelijk 5.2.6Camerawet kunnen gebruiken. De aangepaste definitie van een mobiele camera kan verwarring creëren. Het samenspel tussen de diverse bestaande De Privacycommissie krijgt nog steeds veel klachten en vragen over camerawetgevingen en de aangepaste regeling inzake niet-besloten camerabewaking en de Camerawet. Naast het beantwoorden van plaatsen dient eveneens te worden verduidelijkt. Ten slotte is de rege- individuele dossiers geeft ze ook regelmatig advies over wetgevende ling rond het recht van toegang tot de beelden van bewakingscamera initiatieven tot aanpassing van de camerawetgeving. In 2013 bracht niet volledig duidelijk. zij 3 verschillende adviezen uit in deze context. Aangezien het voorontwerp zijn merites heeft, suggereerde het advies Advies nr. 42/2013 van 2 oktober 2013 bijgevolg om de tekst positief te beoordelen, mits rekening zou worden gehouden met de verschillende opmerkingen. De Privacycommissie gaf op 2 oktober 2013 advies over een voorontwerp van wet tot wijziging van de wet van 21 maart 2007 tot Advies nr. 49/2013 van 15 oktober 2013 regeling van de plaatsing en het gebruik van bewakingscamera’s. De Privacycommissie heeft reeds meermaals de kans gehad om zich De Privacycommissie gaf op 15 oktober 2013 advies over het ontwerp uit te spreken over (een wijziging van) de camerawetgeving. In 2012 van koninklijk besluit tot vaststelling van de voorwaarden en nadere wenste zij bijvoorbeeld nog de aandacht te vestigen op een aantal regels van de toegang in real time van de federale en lokale politie- bestaande knelpunten in de Camerawet (aanbeveling nr. 04/2012 van diensten tot de beelden van de bewakingscamera’s die geïnstalleerd 29 februari 2012). zijn op het net van de openbare vervoersmaatschappijen. Het voorontwerp dat deze keer ter advies voorlag, stelt dat er De tekst voorziet in een realtime toegang voor politiezones of de ondanks de reeds doorgevoerde wijzigingen aan de Camerawet spoorwegpolitie tot de beelden van de bewakingscamera’s die geïn- nog steeds problemen zijn met de toepassing ervan. Het vooront- stalleerd zijn in publiek toegankelijke infrastructuren van openbare werp wenst dan ook verschillende hiaten op te vullen (voornamelijk vervoersmaatschappijen, met uitzondering van voertuigen. Hiervoor is wat het gebruik van mobiele bewakingscamera’s betreft) en kan dan echter een overeenkomst tussen de betrokken partijen noodzakelijk. aldus beschouwd worden als een verbetering in vergelijking met de bestaande situatie. Dit neemt niet weg dat het voorontwerp volgens De beelden worden niet opgenomen bij de politiediensten, zelfs niet de Privacycommissie op een aantal punten bijwerking behoeft. bij het bekijken ervan. Politiediensten kunnen ze in real time bekijken onder bepaalde voorwaarden, op initiatief van de betrokken poli- Hoewel het voorontwerp een oplossing aanreikt voor de problema- tiedienst of op verzoek van de betrokken openbare vervoersmaat- tiek van de reeds veelvuldig gebruikte ANPR-camera’s (automati- schappij. Belangrijk ten slotte is dat er een inkijkregister zal bestaan sche nummerplaatherkenning), zijn er nog steeds problemen omtrent met vermelding van de datum, het uur en de naam van de perso- mobiele bewakingscamera’s: het voorontwerp verruimt namelijk het neelsleden die de beelden in real time hebben bekeken. toepassingsgebied voor het gebruik ervan door politiediensten naar andere diensten, zoals civiele veiligheidsdiensten en inspectiedien- De Privacycommissie gaf een gunstig advies aan de inhoud van dit sten. Kan dit zomaar, en in hoeverre spreken we hier nog van bewa- ontwerp van koninklijk besluit, met evenwel enkele opmerkingen, kingscamera’s? bijvoorbeeld over de duur van de overeenkomst, het al dan niet permanent kunnen bekijken van de beelden en een aantal praktische Een andere problematische aanpassing in het voorontwerp betreft de bepalingen over het inkijkregister. plaatsing van een controlescherm aan de ingang van plaatsen die in real time worden gefilmd, met als resultaat dat het publiek de bewakingsbeelden kan bekijken. Hoewel dit een gangbare praktijk is, is de toegevoegde waarde ervan voor de Privacycommissie niet duidelijk. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 23 Advies nr. 50/2013 van 15 oktober 2013 Naar analogie met het Sectoraal comité van het Rijksregister erkende de Privacycommissie dat de invoering van een ander uniek identifi- De Privacycommissie gaf eveneens op 15 oktober 2013 advies over catiesysteem dienstig zou kunnen zijn voor een correcte identificatie het ontwerp van koninklijk besluit tot aanwijzing van de categorieën van de begunstigden. Niettemin zou de invoering van een dergelijk van personen die bevoegd zijn om in real time de beelden te bekijken verwant systeem naast het gebruik van het identificatienummer van van de bewakingscamera’s die in niet-besloten plaatsen geïnstalleerd het Rijksregister omstandig en duur kunnen uitvallen voor werkgevers zijn, en tot bepaling van de voorwaarden waaraan deze personen en sociale secretariaten, en moeilijk verzoenbaar zijn met het streven moeten voldoen. naar administratieve vereenvoudiging. Daarom was de Privacycommissie van mening dat het gebruik van het identificatienummer van Het huidige ontwerp van koninklijk besluit is grotendeels identiek het Rijksregister waartoe de werkgevers en via hen de sociale secre- aan een eerdere tekst die de regering eerder had ingediend en waar tariaten toegang hebben, de meeste geschikte oplossing is voor de de Privacycommissie advies nr. 04/2008 heeft over uitgebracht. De administratieve identificatie van de begunstigden, en de relevantste tekst wil in hoofdzaak aan de verantwoordelijke voor de verwerking oplossing voor de uitgevers van elektronische maaltijdcheques maar van bewakingscamera’s in een niet-besloten plaats de mogelijkheid ook voor de begunstigden zelf van de maaltijdcheques. geven om andere personen dan politieambtenaren aan te duiden die bevoegd zijn om in real time bewakingsbeelden te bekijken. Het gaat Het voorontwerp bepaalde: “de erkende uitgevers van maaltijdche- dan omr 1) politieagenten 2) personeelsleden van het administratief ques moeten bij het Sectoraal comité van het Rijksregister individueel en logistiek kader van de politiediensten (CALOG) en naar dit kader verantwoorden dat ze voldoen aan de veiligheidsstandaarden die overgeplaatste militairen en 3) gemeenschapswachten en gemeen- door de Privacycommissie voor de bescherming van de persoonlijke schapswachten-vaststellers. levenssfeer worden geëist met betrekking tot het gebruik van het voormeld nummer.” De Privacycommissie gaf een gunstig advies aan de voorgelegde tekst. Zij stelde zich enkel de vraag of het wel noodzakelijk is in het Het initiatief om de door de Privacycommissie vereiste beveiligings- ontwerp van koninklijk besluit te vermelden dat politieambtenaren bij standaarden voor verificatie voor te leggen aan het Sectoraal comité het vervullen van hun opdrachten van bestuurlijke en gerechtelijke van het Rijksregister, verheugde de Privacycommissie omdat het hier politie bevoegd zijn om real time beelden te bekijken van in niet- gaat over het gebruik van het identificatienummer van het Rijksre- besloten plaatsen geïnstalleerde bewakingscamera’s, aangezien de gister. Zij was evenwel van mening dat dit niet noodzakelijk is omdat Camerawet reeds een gelijkaardige regeling bevat. er voldoende garanties vastgelegd zijn in het koninklijk erkenningsbesluit aangaande de conformiteit met het beveiligingsbeleid dat 5.3 Administratieve vereenvoudiging de uitgevers van elektronische maaltijdcheques voeren. De Privacycommissie noteerde dat het in haar schoot opgerichte Sectoraal 5.3.1 Advies nr. 12/2013 van 24 april 2013 comité van de Sociale Zekerheid en van de Gezondheid a priori de voorwaarden inzake beveiliging en bescherming van de persoonlijke •• Uitgevers van elektronische maaltijdcheques; levenssfeer controleert. Ook worden in het kader van de kennisge- •• Gebruik rijksregisternummer of identificatienummer sociale zekerheid. vings- en intrekkingsprocedure van de erkenning specifieke mechanismen ingevoerd voor de controle en de ontvangst van klachten, en Artikel 13 van het voorontwerp strekte ertoe een artikel 184/1 in is er voorzien in de tussenkomst van een advies- en controlecomité. te voegen in de Programmawet van 30 december 2009 houdende diverse bepalingen om de erkende uitgevers van elektronische maal- Het ontwerp werd goedgekeurd. tijdcheques te machtigen het Rijksregisternummer te gebruiken of bij gebrek daaraan het identificatienummer van de registers van de 5.3.2 Advies nr. 08/2013 van 13 maart 2013 Kruispuntbank van de Sociale Zekerheid. •• eID voor kinderen jonger dan 12. De verstrekkers van elektronische maaltijdcheques en de sociale secretariaten zijn tot op heden nog niet gemachtigd om het Rijksre- Op 29 januari 2013 werd het advies van de Privacycommissie gisternummer te gebruiken. ingewonnen door de minister van Binnenlandse Zaken over een ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit Twee machtigingsaanvragen vanwege uitgevers van elektronische van 10 december 1996 betreffende de verschillende identiteitsdocu- maaltijdcheques om het identificatienummer van het Rijksregister te menten voor kinderen onder de twaalf jaar. De voorgestelde wijzi- gebruiken werden in het verleden onontvankelijk verklaard en bijge- gingen zijn erop gericht om de aflevering van een elektronisch iden- volg geweigerd door het Sectoraal comité van het Rijksregister. titeitsdocument voor Belgische kinderen jonger dan 12 jaar mogelijk te maken. Hierdoor wordt de aflevering van minder betrouwbare papieren identiteitsdocumenten overbodig. 24 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Onderzoek van de tekst bracht geen echte pijnpunten aan het licht. de contrôle de l’échange des données», de regels vast te stellen voor De Privacycommissie vond het positief dat voor Belgische kinderen de voorbereiding van de voorgelegde dossiers. wordt afgestapt van het kartonnen identiteitsbewijs ten gunste van een elektronisch identiteitsdocument. Het concept is immers analoog aan de eID van volwassenen en biedt dezelfde garanties tegen verval- 5.3.4Beveiliging van gemachtigde gegevensverwerkingen sing, net als de mogelijkheid om de elektronische functie te schorsen in geval van verlies of diefstal. De Privacycommissie betreurde wel •• dat de aflevering van het elektronisch identiteitsdocument momenteel beperkt is tot Belgische kinderen. Zij beval daarom aan na te gaan of Machtigingsaanvragen bij Privacycommissie en andere controleautoriteiten; •• niet-Belgische kinderen een gelijkwaardig elektronisch identiteitsdo- Uniformisering vragenlijst kandidaat-veiligheidsconsulent en conformiteitsverklaring informatiebeveiligingssysteem. cument zouden kunnen krijgen. Gelet op het toenemende belang van de beveiligingsproblematiek in 5.3.3Evaluatie van advies nr. 29/2012 van 12 september 2012 het raam van de machtigingsaanvragen bij de verschillende betrokken controleautoriteiten, (de Privacycommissie, de verschillende Sectorale comités, de Vlaamse Toezichtcommissie) hebben deze laatste •• •• Samenwerkingsakkoord tussen het Waalse Gewest en de Franse beslist om hun werkwijze met betrekking tot de evaluatie van de voor- Gemeenschap; gestelde veiligheidsconsulenten te uniformiseren. Voortaan zal slechts Gemeenschappelijk initiatief om gegevens te delen. één gemeenschappelijk formulier — de “evaluatievragenlijst voor de kandidaat veiligheidsconsulent” — gebruikt worden om de voorge- Op 12 september 2012 heeft de Privacycommissie advies nr. stelde veiligheidsconsulenten te evalueren. Een veiligheidsconsulent 29/2012 uitgebracht betreffende een ontwerp van samenwerkings- die aanvaard werd door een controleautoriteit voor een bepaald orga- akkoord tussen het Waalse Gewest en de Franse Gemeenschap nisme zal automatisch ook aanvaard worden door de andere contro- over het opstarten van een gemeenschappelijk initiatief om gege- leautoriteiten voor ditzelfde organisme. Een gezamenlijke databank vens te delen en over het gemeenschappelijk beheer van dit initia- zal het voor de verschillende controleautoriteiten mogelijk maken de tief. Dit samenwerkingsakkoord wilde het principe van de authentieke aanvaarde veiligheidsconsulenten te beheren. bronnen invoeren, een kruispuntbank voor gegevensuitwisseling en een “Commission vie privée Wallonie-Bruxelles” oprichten, om de In eenzelfde geest van efficiëntie en vereenvoudiging hebben het administratieve vereenvoudiging te verbeteren en e-government te Sectoraal comité van het Rijksregister, het Sectoraal comité voor perfectioneren. de Federale Overheid en het Statistisch Toezichtscomité beslist om eenzelfde formulier te gebruiken om de naleving van de Privacywet te Op 23 mei 2013 werd een samenwerkingsakkoord ondertekend evalueren met betrekking tot de veiligheid van de informatiesystemen tussen het Waalse Gewest en de Franse Gemeenschap over het bedoeld in de verschillende machtigingsaanvragen: de “conformi- opstarten van een gemeenschappelijk initiatief om gegevens te delen teitsverklaring inzake het informatiebeveiligingssysteem dat het voor- en over het gemeenschappelijk beheer van dit initiatief. werp is van de machtigingsaanvraag of de aanvraag tot aansluiting”. De Privacycommissie heeft vastgesteld dat grotendeels rekening Beide documenten zijn beschikbaar op de website van de Priva- werd gehouden met haar advies. Zo heeft de federale wetgever, na cycommissie in de verschillende rubrieken die gewijd zijn aan de de opmerkingen van de Privacycommissie, een sanctie ingevoerd die verschillende machtigingsaanvragen. ertoe strekt een gegevensflux te beëindigen als de rechthebbende van de machtiging zijn verplichtingen niet vervult. De naam «Commis- 5.4 Financiën en fiscaliteit sion vie privée Wallonie-Bruxelles» werd vervangen door «Commission Wallonie-Bruxelles de contrôle de l’échange des données». De 5.4.1 Advies nr. 13/2013 van 24 april 2013 synergieën met de Privacycommissie werden eveneens verstevigd en de opdrachten van de «Commission Wallonie-Bruxelles de contrôle •• de l’échange des données» werden verduidelijkt. Samenwerking tussen fiscale administraties van de lidstaten van de Europese Unie; •• Elektronische uitwisseling van informatie via het CCN-netwerk. De Privacycommissie heeft de federale wetgever ook laten profiteren van haar ervaring ter zake en heeft federale wetgever geadviseerd De Privacycommissie verstrekte op 24 april 2013 een gunstig advies om de opdracht van de «kruispuntbank voor gegevensuitwisseling» te over het voorontwerp van wet houdende omzetting van Richtlijn omschrijven, die bestaat uit het opstellen van duidelijke akkoorden op 2011/16/EU met het oog op de invoering van een nieuw administra- basis van een taakverdeling tussen de betrokken partijen. Uit pragma- tief samenwerkingsmechanisme dat de informatie-uitwisseling tussen tisme heeft de Privacycommissie ook geadviseerd om ten minste in de fiscale administraties van de lidstaten van de Europese Unie zal het huishoudelijk reglement van de «Commission Wallonie-Bruxelles Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 25 vergemakkelijken zodat er strikter kan worden op toegezien dat de De Privacycommissie herinnerde eraan dat, hoewel er soms een burgers hun fiscale verplichtingen naleven. verband kan bestaan tussen extremisme (vaak niet strafbaar) en ernstige misdrijven zoals terrorisme, beide begrippen niet hetzelfde Dit nieuwe systeem is gebaseerd op rechtstreekse communicatie zijn. Wetgeving in deze context moet beide begrippen dus duidelijk tussen de fiscale administraties van de lidstaten die op eenvoudig scheiden. verzoek informatie mogen uitwisselen, automatisch voor welbepaalde categorieën informatie (lonen, pensioen, levensverzekeringspro- De Privacycommissie vergeleek het wetsontwerp met de bestaande ducten, inkomsten uit onroerend goed en vergoedingen aan directie), aanpak van extremisme door de Veiligheid van de Staat en de militaire en in bepaalde gevallen zal de uitwisseling zelfs spontaan gebeuren. inlichtingendienst ADIV in de wet van 30 november 1998. Zij stelde Naast informatieverzoeken zijn ook onderzoeksverzoeken mogelijk. vast dat het wetsontwerp geen rekening hield met het gevoelige karakter van inlichtingen, zeker als het gaat over radicale opinies en Onder bepaalde voorwaarden zullen ook persoonsgegevens meege- meningen. Er is een fundamenteel verschil met informatie over moge- deeld kunnen worden aan derde landen. lijke misdrijven zoals handelingen die verband (kunnen) houden met witwassen en terrorisme. De gegevensuitwisselingen zullen in de mate van het mogelijke gebeuren langs elektronische weg via het CCN-netwerk. Dit is het Het wetsontwerp bevatte ook een totaal gebrek aan garanties die de gemeenschappelijk platform, opgericht binnen het gemeenschappe- burger moeten beschermen tegen het arbitraire gebruik van onder- lijk communicatienetwerk en door de Europese Unie op punt gesteld, zoeksmaatregelen. Zo beschouwde het wetsontwerp het verzamelen dat instaat in voor alle elektronische doorgiftes tussen de bevoegde van informatie over bankrekeningen en bankverrichtingen niet als overheden inzake douane en fiscaliteit exceptionele onderzoeksmethoden, die pas kunnen worden toegepast als andere methodes ontoereikend zijn. Het wetsontwerp bleek Na onderzoek van het finaliteitsbeginsel in het licht van de toepas- ook nog op tal van andere punten een evenwichtige, proportionele singssfeer ratione loci, ratione personae et ratione materiae, verwerking van persoonsgegevens door de CFI in de weg staan. Het oordeelde de Privacycommissie dat de nagestreefde doeleinden bevatte immers geen concrete beoordelingscriteria voor de CFI, noch welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn zoals de gebruikelijke strikte procedurele waarborgen. bedoeld in artikel 4, §1, 2° van de Privacywet. Het wetsontwerp steunde verder niet op een internationale omkadeTeneinde de beginselen inzake proportionaliteit en transparantie te ring of consensus, en de impact ervan op meldingsplichtige instel- eerbiedigen vroeg de Privacycommissie de aanvrager nauwkeuriger lingen werd evenmin toegelicht. Bovendien hield de ontwerptekst te definiëren hoe het begrip “inlichtingen die naar verwachting van het risico in op een arbitraire interpretatie van extremisme door elke belang zijn” zal worden gebruikt en toegepast, en dit voldoende te meldingsplichtige bank, boekhouder, advocaat, notaris,… aan de motiveren. Zij vroeg eveneens dat het begrip “mogelijk nuttig gegeven” CFI, zonder enige duidelijke wettelijke omkadering. zou worden vervangen door het begrip uit het Belgisch recht met dezelfde draagwijdte, namelijk “toereikend, ter zake dienend en niet De Privacycommissie verleende derhalve een ongunstig advies over overmatig gegeven”. het wetsontwerp. Betreffende het informatieveiligheidsbeginsel verzocht de Privacy- 5.4.3 Advies nr. 54/2013 van 6 november 2013 commissie de aanvrager om klaarheid te scheppen in de verdeling van de verantwoordelijkheid tussen de Europese Commissie en de FOD Financiën voor de beveiliging van het CCN-netwerk. •• Vereenvoudiging en informatisering van procedure voor loonoverdracht. 5.4.2 Advies nr. 30/2013 van 17 juli 2013 Het voorontwerp had tot doel om de procedure voor loonoverdracht te vereenvoudigen, onder meer door bepaalde aspecten ervan te •• W itwaswetgeving; informatiseren. In het kader van deze geïnformatiseerde procedure •• Uitbreiding controlebevoegdheid Cel Financiële Informatieverwer zou het rijksregisternummer van de overdragers (m.a.w. van de werk- king (CFI). nemers/schuldenaars) gebruikt worden. Op vraag van de voorzitter van de Kamer van volksvertegenwoordi- De Privacycommissie had op zich geen bezwaren tegen het principe gers diende de Privacycommissie zich uit te spreken over een wets- van vereenvoudiging en informatisering van voornoemde procedure. ontwerp dat de witwaswet zou aanpassen. Bedoeling was om met Zij verzette zich ook niet tegen het gebruik van het rijksregisternummer deze aanpassing de CFI financiële onderzoeken te laten instellen in van de overdragers, op voorwaarde dat duidelijk in het voorontwerp geval van extremisme. zou worden vastgelegd welke instanties in deze context gemachtigd zouden worden om dit nummer te gebruiken. 26 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Toch zag de Privacycommissie zich genoodzaakt om het vooront- De bepaling die in het Burgerlijk Wetboek nieuwe formele regels inlast werp een ongunstige beoordeling te geven. De tekst maakte immers voor de huur van onroerende goederen – de verplichte vermelding melding van een nieuwe procedure waarbij informaticatechnieken van het Rijksregisternummer of het identificatienummer in het bisre- gebruikt zouden worden, zonder verdere toelichting hierover (noch gister voor natuurlijke personen – wordt ongunstig geadviseerd door in het voorontwerp, noch in de memorie, noch in de begeleidende de Privacycommissie. De wetgever motiveert onvoldoende waarom brief bij de adviesaanvraag). De Privacycommissie kon bijgevolg niet de vermelding van het Rijksregisternummer in de contracten zelf inschatten of de nieuwe geïnformatiseerde procedure voldoende noodzakelijk is, dit terwijl de uiteindelijke bedoeling erin bestaat het garanties bood voor de bescherming van de persoonsgegevens die nummer als metagegeven te bewaren in de databanken van de Admi- in dit kader verwerkt zouden worden. nistratie van de Registratie en Domeinen. De wetgever volgde het standpunt van de Privacycommissie op dit punt. 5.4.4 Advies nr. 62/2013 van 3 december 2013 •• Modernisering van de patrimoniumdocumentatie; •• Rijksregisternummer, het identificatienummer in het bisregister en het ondernemingsnummer. 5.4.5Evaluatie van advies nr. 13/2013 van 24 april 2013 •• Fiscale samenwerking EU-lidstaten; •• Omzetting Richtlijn 2011/16/EU. Minister Koen Geens verzocht bij hoogdringendheid om een advies aangaande een aantal voorgestelde bepalingen die de modernisering Op 24 april 2013 heeft de Privacycommissie een gunstig advies van de patrimoniumdocumentatie beogen. Het voorontwerp werd uitgebracht over een voorontwerp van wet houdende omzetting afgekondigd op 21 december 2013 als de wet houdende diverse van richtlijn 2011/16/EU strekkende tot de invoering van een nieuw fiscale bepalingen. administratief samenwerkingssysteem dat de informatie-uitwisseling tussen de fiscale administraties van de lidstaten van de Europese Voor de eenduidige identificatie van personen wordt teruggegrepen Unie zal vergemakkelijken zodat er strikter kan worden toegezien dat naar bestaande identificatienummers, meer bepaald het Rijksregis- de burgers hun fiscale verplichtingen naleven. ternummer, het identificatienummer in het bisregister en het ondernemingsnummer. Daar deze nummers doorheen de tijd kunnen Dit advies was gunstig op voorwaarde dat rekening werd gehouden wijzigen, beveelt de Privacycommissie aan een systeem op te zetten met bepaalde opmerkingen. Zo moest het begrip “inlichtingen die om dergelijke mutaties te registreren. naar verwachting van belang zijn” precies worden gedefinieerd en moest worden voorzien in een verplichte motivatie bij aanwending Het voorontwerp legt vast dat notarissen in de akten die zij verlijden van dit begrip. De Privacycommissie wou ook het begrip “mogelijk het identificatienummer vermelden van elke partij. De Privacycom- nuttig gegeven” vervangen door het begrip met dezelfde draagwijdte missie meende dat deze nummers niet in de akte zelf, maar als als in het Belgische recht, nl. “toereikend, ter zake dienend en niet metagegeven bij de akte geregistreerd zou moeten worden. Dit zou overmatig gegeven”. Ten slotte adviseerde de Privacycommissie om toelaten het Rijksregisternummer automatisch af te schermen waar de gedeelde verantwoordelijkheid tussen de Europese Commissie nodig, in het bijzonder bij mededeling naar niet-gemachtigden toe. en de FOD Financiën op te helderen voor wat de beveiliging van Deze bemerking werd niet gevolgd door de wetgever. het CCN-netwerk betreft (Common Communication Network – het gemeenschappelijk platform, door de Europese Unie op punt gesteld Wat de registratie van hypotheken en van in pand gegeven handels- om in te staan voor alle elektronische doorgiftes tussen de bevoegde zaken betreft, zal voor elke partij bij de akte het identificatienummer overheden inzake douane en fiscaliteit). als metagegeven vermeld worden volgens modaliteiten te bepalen door de Koning. De Privacycommissie wees erop dat de uitvoe- Op 17 augustus 2013 werd een wet uitgevaardigd houdende omzet- ringsbesluiten in overeenstemming dienen te zijn met de Wet van ting van richtlijn 2011/16/EU van de Raad van 15 februari 2011 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke betreffende de administratieve samenwerking op het gebied van de personen. belastingen en tot intrekking van richtlijn 77/799/EEG. De Privacycommissie meende dat wettelijke machtigingen om het De Privacycommissie heeft kunnen vaststellen dat haar advies slechts Rijksregisternummer te gebruiken – in afwijking van de machti- gedeeltelijk werd opgevolgd. Het begrip “mogelijk nuttig gegeven” gingsbevoegdheid van het Sectoraal Comité van het Rijksregister werd inderdaad vervangen (alleen in art. 3, § 5 maar niet in § 17 – het – voldoende gemotiveerd dienen te zijn en ondubbelzinnig gefor- gaat om een legistieke fout) door het begrip “toereikend, ter zake muleerd moeten zijn. In de voorliggende context is de voorgestelde dienend en niet overmatig gegeven”. wettelijke machtiging aanvaardbaar. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 27 Het begrip “inlichtingen die naar verwachting van belang zijn” blijft weigering van een vraag tot toegang, en dat deze argumenten in het staan in de gepubliceerde tekst, zonder bijzondere motivatie van de administratief dossier dienen bewaard te worden tot wanneer ze dus fiscale overheid. kunnen worden vrijgegeven ingevolge de opheffing van de opschorting van artikel 10 van de Privacywet. De Privacycommissie betreurt overigens dat de gedeelde verantwoordelijkheid tussen de Europese Privacycommissie en de FOD Financiën in de wet niet werd opgehelderd voor wat de beveiliging 5.5Informatie- en communicatietechnologie van het CCN-netwerk betreft. 5.5.1Normalisatie 5.4.6Evaluatie van advies nr. 32/2012 van 17 oktober 2012 Zoals ieder jaar heeft het secretariaat van de Privacycommissie actief meegewerkt aan de lopende normalisatiewerkzaamheden die plaats- •• Verwerking persoonsgegevens door FOD Financiën; vinden in de schoot van het Bureau voor Normalisatie (NBN), en aan •• Opschorting van het recht op toegang bij fiscale controle. de werkzaamheden van de Working Groups 1, 3 en 5 van het technisch Comité SC27 (Information Technology/Security Techniques) Het jaarverslag 2012 kondigde een aanpassing aan in overeenstem- betreffende de herziening van de ISO-normen die een invloed zouden ming met advies nr. 32/2012 aan van de wet van 3 augustus 2012 kunnen hebben op de eerbiediging van het privéleven, onder meer houdende bepalingen betreffende de verwerking van persoonsge- door te waken over de coherentie van deze normen met de Privacywet. gevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten, die in werking was getreden op 1 januari 2013. Deze aanpassing werd doorgevoerd door de wet van 17 juni 2013 5.5.2 Overlegplatform voor informatieveiligheid (BELNIS) houdende fiscale en financiële bepalingen en bepalingen betreffende de duurzame ontwikkeling. Een commissaris en enkele leden van het secretariaat van de Privacycommissie hebben deelgenomen aan de werkzaamheden van het Het amendement dat aan de Privacycommissie ter advies werd overlegplatform voor informatieveiligheid (BELNIS). voorgelegd (advies nr. 32/2012 van 17 oktober 2012) impliceerde reeds een significante verbetering in vergelijking met de wet van Dit platform werd eind 2005 opgericht door de ministerraad teneinde 3 augustus 2012. In de uiteindelijke wettekst werden bovendien nog de gemeenschappelijke problemen inzake informatiebeveiliging aan te een aantal opmerkingen uit het advies van de Privacycommissie geïn- pakken waarmee de leden van het platform geconfronteerd worden. tegreerd. De instellingen die aan dit platform deelnemen zijn: Zo had de Privacycommissie erop aangedrongen om in de wet te bepalen wat de motivering moet zijn om het recht van toegang op te •• schorten, en hoe en binnen welke termijn die motivering ter kennis de Algemene Dienst Inlichtingen en Veiligheid (ADIV) van het Ministerie van Landsverdediging; van de betrokkene moet worden gebracht. Ze had hieraan ook toege- •• het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT); voegd dat zou moeten worden verduidelijkt of de motivering al dan •• de Privacycommissie; niet kan worden aangevochten, hoe, wanneer en met welke gevolgen. •• het crisiscentrum van de FOD Binnenlandse Zaken; Verder kon de Privacycommissie begrijpen dat kennisgeving aan •• de Federal Computer Crime Unit (FCCU); de betrokkene van de motivering om het recht van toegang op te •• de Algemene Directie Controle en Bemiddeling van de FOD schorten, uitgesteld kon worden, maar zij onderlijnde dat deze motivering toch vastgelegd moest worden in het administratief dossier. Economie; •• de FOD Fedict; •• de Kruispuntbank van de Sociale Zekerheid; In de wet wordt effectief verduidelijkt dat in de gevallen waarin – inge- •• Nationale Veiligheidsoverheid (NVO) – Buitenlandse Zaken; volge “voorbereidende werkzaamheden” en/of een controle/onder- •• de Veiligheid van de Staat. zoek – artikel 10 van de Privacywet is opgeschort, de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer van de FOD Financiën de betrokkene op de hoogte dient te brengen 5.5.3Evaluatie van advies nr. 24/2012 van 25 juli 2012 wanneer deze opschorting wordt opgeheven. Op dat moment moet ook aan de betrokkene worden medegedeeld waarom artikel 10 van •• Statuut van veiligheidsadviseurs. de Privacywet werd opgeschort (artikel 96 van de wet). De wet geeft echter geen verduidelijking over een eventuele aanvechting van de Op 25 juli 2012 bracht de Privacycommissie een gunstig advies uit motivering. In de Memorie van Toelichting wordt wel aangegeven dat over een ontwerp van koninklijk besluit betreffende het statuut van de de motivering al moet worden opgemaakt op het moment van de veiligheidsadviseurs. Dit besluit werd aangenomen op 17 maart 2013. 28 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 De Privacycommissie werd gevolgd: voldoende veiligheid op het openbaar vervoer enerzijds en het recht op mobiliteit en privacy anderzijds. •• •• •• •• •• in haar aanbeveling om in het ontwerp op te nemen dat de aanstelling van een veiligheidsadviseur onder toezicht van het Sectoraal Het decreet toegangsverbod bevatte reeds een aantal basiswaar- Comité van de Sociale Zekerheid automatisch zou gevalideerd borgen om naar dit evenwicht te streven. Het besluit draagt hiertoe worden als veiligheidsadviseur krachtens het voorgelegde ontwerp- nog meer met bijkomende voorwaarden, spelregels en maatre- besluit; gelen die bij deze gegevensverwerkingen moeten worden nageleefd in haar aanbeveling om het beveiligingsplan vermeld in artikel 7 van volgens de Privacywet, wat een positieve impact heeft op privacybe- het ontwerp mee te delen aan het bevoegde sectoraal comité, nl. scherming. Zo voorziet het besluit in de aanduiding van de verant- het Sectoraal comité voor de Federale Overheid; woordelijke voor de verwerking, de beoogde doeleinden, de gege- in haar wens om in een termijn te voorzien voor de mededeling van vens die worden opgeslagen, de bewaringstermijn van de gegevens de identiteit van de veiligheidsadviseurs; en de beschermings- en beveiligingsmaatregelen (zoals logging van in haar aanbeveling om de voorgelegde tekst aan te passen en te het gebruik van de gegevens, het optreden van de veiligheidsconsu- vermelden dat de twee aanstellingscriteria zowel vooraf onderzocht lent, de bepaling van de categorieën personen die toegang hebben zouden worden door het bevoegde sectoraal comité als tijdens de tot het bestand, inclusief hun geheimhoudingsplicht). De Privacycom- uitoefening van de functies van de veiligheidsadviseur. missie benadrukte het belang van het engagement van De Lijn om het in haar wens dat son souhait que l’exigence de l’article 6 (connais- toegangsverbod enkel toe te passen wanneer blijkt dat alle andere sance de l’environnement informatique) soit ajoutée aux critères de maatregelen uit de andere schakels van de veiligheidsketen onvol- désignation du conseiller en sécurité doende gebleken zijn. De Privacycommissie werd niet gevolgd: De Privacycommissie leverde dan ook een gunstig advies. •• 5.6.2Evaluatie van advies nr. 30/2012 van 12 september 2012 in haar aanbeveling om in het voorgelegde ontwerp te vermelden dat het Sectoraal comité voor de Federale Overheid het bevoegde sectoraal comité is waaraan de identiteit van de veiligheidsadviseur moet worden meegedeeld, onafhankelijk van een machtigingsaan- •• Intelligente vervoerssystemen vraag bij dit sectoraal comité. 5.6 Vervoer en mobiliteit Op 19 september 2013 verscheen de Wet van 17 augustus 2013 tot creatie van het kader voor het invoeren van intelligente vervoerssystemen en tot wijziging van de wet van 10 april 1990 tot regeling 5.6.1 Advies nr. 52/2013 van 6 november 2013 van de private en bijzondere veiligheidin het Staatsblad. De Privacycommissie verleende in deze materie een zeer uitgebreid advies •• Toegangsverbod tot voertuigen De Lijn; van 37 pagina’s met een tekstvoorstel. Noch het tekstvoorstel, noch •• Ultieme maatregel bij overlast. de inhoudelijke bedenkingen van het advies werden gevolgd, op een detailopmerking na. De Privacycommissie werd gevraagd advies uit te brengen over een voorontwerp van besluit van de Vlaamse Regering (hierna “het besluit”) over een toegangsverbod tot de voertuigen van de Vlaamse 5.6.3Evaluatie van advies nr. 34/2011 van 21 december 2011 Vervoermaatschappij (VVM) De Lijn. •• Het besluit was bedoeld ter uitvoering van het Vlaams decreet van houdende oprichting van de Kruispuntbank van de Voertuigen 8 mei 2009 betreffende toegangsverbod tot voertuigen van De Lijn (hierna “het decreet toegangsverbod”). Koninklijk Besluit ter uitvoering van de wet van 19 mei 2010 (“WKBV”); •• Machtiging van gegevensstromen naar de private sector door het Sectoraal comité voor de Federale Overheid. De Lijn en de Vlaamse overheid zijn vandaag niet in staat overlastinbreuken door passagiers aan te pakken met een ultieme sanctie, met Op 22 augustus 2013 verscheen in het Staatsblad een Koninklijk name de overtreder een toegangsverbod opleggen. Besluit tot uitvoering van de WKBV. Aangezien een dergelijk toegangsverbod een inperking van de Puur technisch gesproken werden enkele kleinere punten uit het mobiliteit van de betrokkene betekent enerzijds, en anderzijds een advies van de Privacycommissie gevolgd, maar er zijn nog steeds ingrijpende verwerking van zijn persoonsgegevens impliceert (nl. een een aantal problemen met de machtiging van gegevensstromen door verwerking van gerechtelijke persoonsgegevens in de zin van artikel het Sectoraal comité voor de Federale Overheid. Zo valt op dat struc- 8 van de Privacywet), is een goed evenwicht noodzakelijk tussen turele gegevensstromen naar de private sector toe worden vrijgesteld Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 29 van de machtigingsvereiste door het sectoraal comité. Concreet gaat 5.7.2 Advies nr. 14/2013 van 14 april 2013 het om de vrijstelling voor de vzw-groepering van erkende ondernemingen voor autokeuring en rijbewijs:, Febiac, Assuralia, Informex NV, •• Onthaaltraject voor nieuwkomers; Federauto, Febelauto, en Renta. FEBIAC weet al sinds jaar en dag •• Sociaal profiel met noden van nieuwkomers: vaardigheden en dat haar leden de verkregen gegevens gebruiken met het oog op professionele ervaring. direct marketing, zonder dat passende maatregelen het aanslepende probleem van gebruik van gegevens met het oog op direct marketing Op 5 maart 2013 vroeg mevrouw Eliane Tillieux, minister van Gezond- door FEBIAC-leden hebben aangepakt. Dit gaat in tegen het advies heid, de Privacycommissie een advies uit te brengen over het vooront- en de logica dat voorafgaand privacyonderzoek normaal de regel is werp van decreet ter vervanging van Boek II van het Waals Wetboek voor gegevensverwerkingen zoals direct marketing sociale actie en gezondheid met betrekking tot de integratie van vreemdelingen of van personen van buitenlandse herkomst (hierna 5.7Varia “het voorontwerp”). Dit voorontwerp kadert in de wens van de Waalse regering om een onthaaltraject voor nieuwkomers in te voeren. Dit 5.7.1Advies nr. 04/2013 van 30 januari 2013 en nr. 56/2013 van 6 november 2013 traject beoogt de emancipatie van nieuwkomers en steunt op vier pijlers: een gepersonaliseerd onthaal, een opleiding in de Franse taal, een burgerschapsopleiding en een socio-professionele oriëntatie. •• Gemeentelijke Administratieve Sancties; Het onthaaltraject is gepersonaliseerd en resulteert onder andere in •• Register van dergelijke sancties. een sociaal profiel om de noden van de nieuwkomer te identificeren op basis van zijn vaardigheden en professionele ervaring. Op grond De Privacycommissie werd om advies gevraagd omtrent een voor- daarvan kan een overeenkomst worden afgesloten tussen de gerech- ontwerp van wet betreffende de gemeentelijke administratieve sanc- tigde en het Gewest, dat vertegenwoordigd wordt door het geweste- ties met het oog op de bestrijding van de overlast. Zij kwam tot de lijk integratiecentrum. Het centrum moet instaan voor een geïndividu- conclusie (advies nr. 04/2013 van 30 januari 2013) dat dit vooront- aliseerde opvolging van deze overeenkomst en voor de centralisatie werp bepaalde merites heeft in vergelijking met het regelgevend kader van alle gegevens over de begunstigden. dat destijds van kracht was (bv: een duidelijke omkadering van het “gemeentelijk register van gemeentelijke administratieve sancties”), De Privacycommissie vestigde de aandacht van de aanvrager op het waardoor zij een gunstig advies verleende. Dit neemt niet weg dat feit dat het voorontwerp de personen die onderworpen werden aan de Privacycommissie omtrent dit register nog met een aantal vragen de verplichtingen van het voorontwerp, met name de nieuwkomers, zat. Zo stelde zich bijvoorbeeld de problematiek van de “herhaling” te ruim omschreef. De Privacycommissie meent immers dat niet de en met name de vraag of in een dergelijke context gegevens omtrent regering maar de wetgever via een decreet de lijst met uitzonderingen een inbreuk die in gemeente A gepleegd werd, kunnen uitgewisseld dient te bepalen. worden met gemeente B. Een andere belangrijke gegevensverwerking in het voorontwerp, met name de verwerking in gevallen waarin Betreffende de centralisering van de gegevens van nieuwkomers er een “tijdelijk plaatsverbod” wordt opgelegd, werd eveneens onvol- bepaalt het voorontwerp niet de gegevens die noodzakelijk zijn om doende geregeld in het voorontwerp. van een onthaaltraject of een sociaal profiel van een nieuwkomer op te stellen. De Privacycommissie meent dat het gaat om een lacune Intussen heeft het Parlement over de GAS-wet gestemd , en die des te belangrijker is omdat de centra over de mogelijkheid verscheen de tekst in het Belgisch Staatsblad van 1 juli 2013. De beschikken om eenzijdig de overeenkomst met de nieuwkomer te wettekst beidt echter geen antwoord op de twee knelpunten die ontbinden als die zonder wettige reden niet deelneemt aan een oplei- hoger zijn uiteengezet. ding of ermee stopt. De Privacycommissie dringt er dan ook op aan dat het decreet de regering ertoe zou verplichten de hiertoe verwerkte In oktober 2013 werd aan de Privacycommissie ook een ontwerp gegevens nauwkeurig te bepalen. van uitvoeringsbesluit voorgelegd, dat specifiek handelde over het register van de gemeentelijke administratieve sancties. In dit ontwerp Uit het voorontwerp kan worden afgeleid dat de centra de gegevens werd het concept “herhaling” weliswaar gedefinieerd, maar werd rechtstreeks bij de gerechtigden zullen inzamelen. Indien de gegevens nog steeds geen uitsluitsel geboden omtrent de vraag of gemeenten echter worden verkregen bij een authentieke gegevensbron zoals onderling informatie mogen uitwisselen. Deze opmerking werd dan het Rijksregister, het Wachtregister en/of het Register van de Kruis- ook herhaald in het advies nr. 56/2013 van 6 november 2013, dat puntbank van de Sociale Zekerheid is een voorafgaande machtiging voor het overige – behoudens enkele punctuele opmerkingen – in een noodzakelijk van het Sectoraal comité van het Rijksregister of van het gunstige beoordeling voorzag. Sectoraal comité van de Sociale zekerheid en van de Gezondheid, afdeling sociale zekerheid. Hetzelfde geldt indien de centra het identificatienummer van het Rijksregister of het identificatienummer van 30 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 de sociale zekerheid zullen gebruiken om de gerechtigden eenduidig handhavingsbevoegdheden toe te kennen aan de Vlaamse Toezicht- te identificeren. commissie (VTC), die passende sancties zou moeten kunnen opleggen aan overtreders om de bescherming van persoonsgege- Betreffende het transparantiebeginsel dringt de Privacycommissie vens af te dwingen. erop aan dat aan de nieuwkomer van wie gegevens zullen worden verwerkt in het raam van zijn onthaaltraject hierover duidelijke en De Privacycommissie onderschreef de motivering van de toekenning gedetailleerde informatie wordt verstrekt. van bestuurlijke toezicht- en handhavingsbevoegdheden aan de VTC en onderstreepte de doeltreffendheid van de maatregelen die de VTC De Privacycommissie herinnert eraan dat het decreet of het door de eventueel kan opleggen in het kader van bestuurlijke handhaving van regering goed te keuren besluit een passende bewaringstermijn voor de Privacywet en het e-governmentdecreet van 18 juli 2008. de gegevens moet bepalen in het licht van het beoogde doeleinde, met name de integratie van nieuwkomers. De Privacycommissie bracht een gunstig advies uit over het voorstel van decreet, maar met een aantal opmerkingen: De Privacycommissie wenste eveneens te herinneren aan het bestaan van een Kruispuntbank voor gegevensuitwisseling die binnenkort •• wordt opgericht in Wallonië (zie advies nr. 29/2012 van de Priuva- administratieve sancties slechts als sluitstuk van bestuurlijke handhaving hanteren; cycommissie van 12 september 2012) en die de gegevensuitwis- •• het recht op verdediging honoreren; selingen tussen de verschillende openbare actoren moet vereen- •• evenredige sanctionering nastreven; voudigen en optimaliseren. De centra zouden deze kruispuntbank •• voorzien in een beroepsmogelijkheid. moeten gebruiken om de gegevensstromen te coördineren. 5.7.5 Advies nr. 32/2013 van 17 juli 2013 Aangezien de steller van het voorontwerp meedeelde dat hij er geen bezwaar tegen had verduidelijkingen in de tekst aan te brengen volgens •• Strijd tegen schijnhuwelijken; de opmerkingen van de Privacycommissie, verstrekte zij een gunstig •• Opname van nieuwe informatiegegevens in de bevolkingsregisters advies over dit voorontwerp van decreet van de Waalse regering. 5.7.3 Advies nr. 22/2013 van 26 juni 2013 en het vreemdelingenregister. Op 17 juli 2013 heeft de Privacycommissie zich uitgesproken over een ontwerp van koninklijk besluit tot invoeging van nieuwe informa- •• Federaal Agentschap voor Nucleaire Controler (FANC); tiegegevens in de bevolkingsregisters en in het vreemdelingenregister •• Bevoegdheden van nucleaire inspecteurs. met betrekking tot de verschillende administratieve stappen voorafgaand aan een huwelijk of het afsluiten van een wettelijk samenle- Op 26 juni 2013 heeft de Privacycommissie een gunstig advies uitge- vingscontract en dit in het raam van de strijd tegen schijnhuwelijken bracht over voormelde adviesaanvraag van de minister van Binnen- en schijn-wettelijke samenwoningen. De bedoeling is het hoofd te landse Zaken. De herziening van de wet van 15 april 1994 blijkt bieden aan de actuele territoriale beperking van gegevensuitwisseling volgens de aanvrager noodzakelijk om diverse redenen: 1) de inspec- tussen de betrokken actoren op het terrein, aangezien deze beper- teurs van het FANC betere handhavingsmiddelen aanreiken 2) inspec- king een eventuele andere poging tot schijnhuwelijk mogelijk maakt tiebevoegdheid verlenen aan contractuele personeelsleden 3) op voor een andere ambtenaar van de burgerlijke stand. Er wordt dan termijn een einde stellen aan de hoedanigheid van officier van gerech- gespeculeerd dat die niet op de hoogte is van eerdere soortgelijke telijke politie, hulpofficier van de procureur des Konings in hoofde pogingen door dezelfde personen. van de personeelsleden van het FANC. Het is volgens de aanvrager ook aanbevolen al de bevoegdheden van de nucleaire inspecteurs te In deze context heeft de Privacycommissie zich gunstig uitgesproken centraliseren in één reglementaire tekst. Het KB van 20 juli 2001, dat over de centralisatie van de verschillende administratieve stappen reeds een aantal van deze bevoegdheden bevat, zou voor wat deze voorafgaand aan een huwelijk of het afsluiten van een wettelijk aspecten betreft, dan ook worden opgeheven. samenlevingscontract, om zo te strijden tegen schijnhuwelijken en schijn-wettelijke samenwoningen. Het Sectoraal comité van het Rijks- 5.7.4 Advies nr. 31/2013 van 17 juli 2013 register zal op basis van artikel 16, 12° van de Wet op het Rijksregister moeten nagaan of de gevraagde toegang tot deze gegevens •• Uitbreiding bevoegdheid Vlaamse Toezichtcommissie voor het elek- conform de Privacywet is. tronisch bestuurlijk gegevensverkeer; •• Administratieve sanctionering. Om de voor advies voorgelegde tekst te verbeteren, heeft de Privacycommissie echter wel verschillende aanpassingen vereist. Dit voorstel van decreet, voor advies voorgelegd door de voorzitter van het Vlaams Parlement, strekte ertoe bestuurlijke toezicht- en Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 31 Een eerste aanpassing vereist dat in de bevolkingsregisters de om te voldoen aan de beveiligingsverplichting in artikel 16 van de redenen worden opgenomen waarom een ambtenaar van de burger- Privacywet. lijke stand vermoedt dat er ernstige aanwijzingen zijn van een schijnhuwelijk of schijn-wettelijke samenwoning, zodat iedere ambtenaar De Privacycommissie bracht een gunstig advies uit over de twee van de burgerlijke stand verder zijn soevereine beoordelingsbevoegd- ontwerpen, maar met een aantal opmerkingen. De voornaamste heid met kennis van zaken kan uitoefenen. daarvan waren De Privacycommissie vroeg eveneens dat de centralisatie van de •• het Sectoraal Comité van de Sociale Zekerheid en van de Gezond- soorten weigeringen om een huwelijksakte op te stellen, tot een strikt heid, afdeling Sociale Zekerheid is bevoegd om de vereisten voor de minimum beperkt zouden worden, met name enkel wanneer er twij- registratie vast te stellen en om sociale inspecteurs te machtigen de fels zijn over de authenticiteit of de geldigheid van documenten die in het raam van een huwelijk moeten voorgelegd worden. registratiegegevens te raadplegen en verwerken; •• het gebruikte registratiemiddel zou logischerwijs ontwikkeld worden door de Kruispuntbank van de Sociale Zekerheid en niet door de In eenzelfde redenering dient centralisatie in de bevolkingsregisters Federale Overheidsdienst Informatie- en Communicatietechnologie enkel gebaseerd te zijn op het uitstel van of de weigering tot voltrek- (Fedict), aangezien deze registratie gebeurt in de sociale sector. king van het huwelijk, door een vermoedelijk gebrek aan instemming van een of beide betrokken personen of door hun intentie uitsluitend 5.7.7 Advies nr. 60/2013 van 27 november 2013 een verblijfsrechtelijk voordeel te bekomen. •• Ten slotte heeft de Privacycommissie aanbevolen dat de vermelding Aflevering van paspoorten door de FOD Buitenlandse Zaken en bijhorende gegevensverwerkingen. “geschrapt” wordt toegevoegd aan iedere persoon die geschrapt wordt uit de registers op het einde van de bewaringstermijn van 5 Ingevolge Verordening (EG) nr. 2252/2004 moeten paspoorten en jaar, indien geen later element na de aanvraag van huwelijk of wette- reisdocumenten die door de lidstaten worden afgeleverd o.a. worden lijke samenwoning een verdere actieve vermelding in de registers beveiligd met twee vingerafdrukken. In België staat de FOD Buiten- rechtvaardigt. Hierbij heeft de Privacycommissie onderstreept dat landse Zaken in voor de aflevering van deze documenten. het identificatienummer van het Rijksregister dat aan deze personen werd toegekend zal moeten worden bewaard aangezien het in het De FOD Buitenlandse Zaken houdt reeds gegevens bij, zowel raam van de bestrijding van identiteitsfraude immers belangrijk is dat over personen aan wie een paspoort werd afgeleverd als over het een identificatienummer nooit aan twee verschillende personen wordt paspoort. Over dit gegevensbestand bestaat er geen transparantie. toegekend. Nergens blijkt duidelijk wat wordt bewaard en waarom, hoe lang iets wordt bewaard, wie toegang heeft tot dit gegevensbestand en wie de 5.7.6 Advies nr. 43/2013 van 2 oktober 2013 verantwoordelijke is voor de verwerking. •• Aanwezigheidsregistratie op bouwwerven; Omdat bij de productie van de nieuwe paspoorten o.m. vingeraf- •• Fraudebestrijding. drukken zullen worden verwerkt, besliste de FOD Buitenlandse Zaken om klaarheid te scheppen over de diverse doeleinden en de bijho- De welzijnswet van 1996 heeft de Koning belast met de gedetail- rende gegevensverwerkingen waartoe een paspoortaanvraag aanlei- leerde vaststelling en uitvoering van de voorwaarden en de nadere ding geeft. Op 1 oktober 2013 won de FOD het advies in van de regels waaraan de elektronische registratie van aanwezigheden op Privacycommissie over een voorontwerp van wet in deze context. tijdelijke of mobiele bouwplaatsen moet beantwoorden. Dit systeem maakt het mogelijk een duidelijk beeld te krijgen van wie er op een Dit voorontwerp identificeert de FOD Buitenlandse Zaken als verant- bepaald moment aanwezig is op een bouwplaats, en dit voor legi- woordelijke voor de verwerking en vermeldt volgende doeleinden: tieme doeleinden zoals de bevordering van de veiligheid en gezondheid van de werknemers en de bestrijding van sociale fraude. Deze •• materiële productie van een paspoort; gegevens worden opgenomen in een gegevensbank in onderaanne- •• schadevergoeding voor defecten aan een paspoort; ming beheerd door de Rijksdienst voor Sociale Zekerheid. Naast deze •• voor Belgen in het buitenland op basis van toestemming: pre-regis- gegevensbank bestaat het registratiesysteem uit een registratieap- tratie of bewaring van het paspoort (langere bewaartermijn voor de paraat en een registratiemiddel. vingerafdrukken); De twee ontwerpen van koninklijk besluit die werden voorgelegd voor •• bestrijding van paspoortfraude; •• facturering en statistische doeleinden. advies door de staatssecretaris voor de Bestrijding van de Fiscale en Sociale Fraude behelsden dan ook voornamelijk de functionele en Voor elk van deze doeleinden vermeldt het voorontwerp welke gege- technische vereisten, en de beveiligingsvereisten van de registratie vens daartoe worden verzameld, bepaalt het een specifieke bewaar- 32 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 termijn – zo zal de FOD Buitenlandse Zaken de vingerafdrukken alleen 5.7.9 Aanbeveling gegevenslekken bewaren voor de materiële productie van het paspoort, namelijk niet langer dan drie maanden, in tegenstelling tot andere gegevens - en •• Beveiliging van persoonsgegevens; identificeert het de personen/diensten die toegang tot de gegevens •• Herinnering juridisch kader. zullen hebben. Naar aanleiding van een aantal concrete gebeurtenissen die uitgeDe Privacycommissie verleende een gunstig advies aangezien de breid aan bod kwamen in de media (gegevenslekken NMBS, Defensie tekst de toetsing aan de basisprincipes van de Privacywet doorstond. en Jobat), meende de Privacycommissie dat onmiddellijk actie diende te worden ondernomen om een halt toe te roepen aan onbedoelde 5.7.8NMBS-gegevenslek en ongeoorloofde gegevenslekken, zogenaamde data breaches, die zoals zij vaststelde doorgaans te wijten zijn aan onvoldoende gege- Naar aanleiding van een menselijke fout werd een kopie van een vensbeveiliging. bestand met een uittreksel van het klantenbestand van de NMBS Europe op een FTP-server geplaatst, die vervolgens online kon De technologische evolutie, koppelingen tussen informatiesystemen, worden geraadpleegd via indexering door zoekmotoren. Nadat zij de dematerialisatie van deze systemen en hun dragers en de verme- kennis had genomen van dit gegevenslek wenste de Privacycom- nigvuldiging van digitale informatie vergroten almaar het risico op missie een onderhoud met NMBS Europe om de oorsprong van het lek verspreiding van gegevens aan personen die hiertoe geen toegang te achterhalen. Uit deze vergadering en de daarop volgende ontmoe- mogen hebben. tingen is gebleken dat NMBS Europe op zaterdag 22 december 2012 over deze fout in kennis werd gesteld door een niet nader geïdenti- Deze ongeoorloofde beschikbaarheid van persoonsgegevens op het ficeerde klant, die meedeelde dat een bestand met zijn klantenge- internet vormt een ernstig probleem, aangezien deze gegevens een gevens kon geraadpleegd worden op het internet. Tijdens de uren commerciële waarde kunnen hebben en hun verspreiding oncontro- die volgden op deze oproep stelde de NMBS alles in het werk om leerbaar wordt indien geen passende veiligheidsmaatregelen worden dit bestand te verwijderen. Het bevatte meer dan 1,4 miljoen regels genomen door elke verantwoordelijke voor een verwerking. met persoonsgegevens van klanten of potentiële klanten die contact hadden gehad met hetzij de website van NMBS Europe, hetzij het De Privacycommissie stelde vast dat een onvoldoende uitgebouwde internationale callcenter. De gegevens in het bestand waren naam, informaticastructuur daarbij veelal aan de basis ligt van het probleem. voornaam, taalrol, geslacht, e-mailadres en soms postadres, geboor- In combinatie met een gebrek aan voldoende ingebouwde controle- tedatum en/of telefoonnummer/gsm-nummer. Het bestand bevatte middelen (het “vierogenprincipe”) en de afwezigheid van een systeem geen enkel financieel gegeven noch gegevens over de reizen die door dat tijdig fouten detecteert en rechtzet, vormt dit de ideale voedings- de betrokkenen werden gemaakt. Naar aanleiding van de mediatise- bodem voor gegevenslekken. Vanuit een permanente bekommernis ring van dit gegevenslek bracht de NMBS verschillende communiqués om dergelijke situaties te voorkomen, formuleerde de Privacycom- uit (in de geschreven pers, de audiovisuele pers of nog, via Facebook missie een reeks aanbevelingen die concreet betrekking hebben op en Twitter). Zij plaatste eveneens een speciale rubriek online om het informatiebeveiliging. De aanbeveling besteedt verder aandacht aan publiek te informeren over het gegevenslek. Zo konden de klanten het juridisch kader waarbij de bepalingen worden aangehaald waarop ook navragen of hun gegevens deel uitmaakten van dit bestand. Zij inbreuk wordt gepleegd in geval zich een gegevenslek voordoet. antwoordde eveneens met een modelbrief als antwoord op vragen om inlichtingen. Ten slotte liet NMBS Europe op eigen initiatief een audit uitvoeren door een externe firma. Uit deze audit is gebleken dat 5.7.10Evaluatie van advies nr. 05/2010 van 3 februari 2010 NMBS Europe niet het slachtoffer was van hacking. Naar aanleiding van het contact dat zij had met NMBS Europe bracht de Privacy- •• Mededeling van informatie in het wachtregister. commissie verschillende aanbevelingen uit die grotendeels werden gevolgd. Zo heeft NMBS Europe onder meer een verantwoordelijke De Privacycommissie had een advies uitgebracht over het Konink- voor informatiebeveiliging aangeduid, de gekende internetgebruikers lijk Besluit betreffende de mededeling van informaties in het wacht- en de zoekmotoren gevraagd om het bewuste bestand en/of de register op 30 december 2013. Het Koninklijk Besluit werd op gegevens die hierop betrekking hadden te verwijderen en de beveili- 30 december 2013 gepubliceerd in het Belgisch Staatsblad. ging van de gegevens te verhogen. De Privacycommissie verstrekte ook een antwoord aan alle burgers die haar aanschreven ingevolge De opmerkingen van de Privacycommissie werden in het algemeen dit gegevenslek. Eens haar onderzoek was afgerond en gelet op het goed gevolgd. belang van het voorval en de ingezamelde informatie, heeft de Privacycommissie het dossier uit handen gegeven en doorgestuurd naar Zo is er een wettelijk kader dat voorziet dat de personen die in het het Parket van Brussel opdat het gerecht zich zou uitspreken over het wachtregister ingeschreven zijn de mogelijkheid krijgen om te vragen gevolg dat hieraan gegeven dient te worden. dat hun adres niet wordt meegedeeld. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 33 Het artikel 17 van het ontwerp van Koninklijk Besluit werd aangepast volgens het voorstel van de Privacycommissie. Zoals gevraagd zal iedere aanvrager de toegang tot het wachtregister moeten motiveren en moeten aantonen waarom dit noodzakelijk is in het licht van de procedure die hij instelt (art. 4, §2, tweede lid van het KB). Op aangeven van de Privacycommissie werd de ongelukkige formulering “voor interne doeleinden” die gebruikt werd om de doeleinden te beschrijven waarvoor toegang kan worden verleend aan de gemeentelijke diensten en de diensten afhankelijk van het OCMW terecht vervangen door “voor de uitvoering van de taken die tot hun bevoegdheid behoren”. Tot slot, sluit de organisatie voor de mededeling van lijsten met personen uit het wachtregister beter aan bij het recht op privacy. Het artikel 12 §2 van het KB verplicht de aanvrager zijn aanvraag te motiveren en aan te tonen waarom de door hem gevraagde lijst noodzakelijk is voor de uitvoering van zijn opdracht. Artikel 11 bepaalt dat enkel overheden of de openbare instellingen die door of krachtens de wet gemachtigd zijn, dergelijke lijsten kunnen verkrijgen en dit voor de informatie waarop deze machtiging betrekking heeft. 34 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 6Lijst van beslissingen van de Privacycommissie in 2013 Alle beslissingen van de Privacycommissie zijn raadpleegbaar op haar website in de rubriek “Beslissingen”. 6.1Adviezen 01/2013 Advies betreffende de bindende ondernemingsregels (Binding corporate rules of “BCR”) van de onderneming Novo Nordisk 02/2013Ontwerp van Koninklijk besluit tot uitvoering van de wet betreffende de politie over het wegverkeer, gecoördineerd op 16 maart 1968, wat betreft de speekselanalyse en de bloedproef bij het sturen onder invloed van bepaalde psychotrope stoffen en de erkenning van de laboratoria 03/2013Adviesaanvraag betreffende het voorontwerp van besluit van de Waalse regering tot wijziging van onder meer het besluit van de Waalse Gewestexecutieve van 9 april 1992 betreffende de gevaarlijke afvalstoffen en het Besluit van de Waalse regering van 13 november 2003 betreffende de registratie van ophalers en vervoerders van andere dan gevaarlijke afvalstoffen 04/2013 Voorontwerp van wet betreffende de gemeentelijke administratieve sancties met het oog op de bestrijding van de overlast 05/2013Adviesaanvraag van de Federale Overheidsdienst Economie (Beheersdienst Kruispuntbank van Ondernemingen) houdende sommige bepalingen van het voorontwerp van wet houdende het Wetboek van economische recht met het oog op een aanpassing van de wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen (hierna KBO) alsmede drie ontwerpen van koninklijke uitvoeringsbesluiten 06/2013Ontwerp van koninklijk besluit houdende uitvoering van de wet tot uitvoering van artikelen 12 en 30ter van de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de maatschappelijke zekerheid der arbeiders en tot wijziging van het koninklijk besluit van 27 december 2007 tot uitvoering van de artikelen 400, 401, 403, 404 en 406 van het Wetboek van de inkomstenbelastingen 1992 en van artikel 30bis van de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de maatschappelijke zekerheid der arbeiders 07/2013Advies aangaande het voorontwerp van Koninklijk besluit tot uitvoering van artikel 21 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst 08/2013Ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 10 december 1996 betreffende de verschillende identiteitsdocumenten voor kinderen onder de twaalf jaar 09/2013Adviesaanvraag betreffende het ontwerp van koninklijk besluit tot regeling van sommige verzekeringsovereenkomsten tot waarborg van de terugbetaling van het kapitaal van een hypothecair krediet 10/2013Adviesaanvraag betreffende het ontwerp van koninklijk besluit tot wijziging van de artikelen 164 en 165 van het koninklijk besluit tot uitvoering van het Wetboek van de inkomstenbelastingen 1992 11/2013Advies betreffende het ontwerp van koninklijk besluit tot uitvoering van artikel 77decies van de wet van 22 juli 1953 houdende oprichting van een instituut van de bedrijfsrevisoren en organisatie van het publiek toezicht op het beroep van bedrijfsrevisor, gecoödineerd op 30 april 2007 en de ontwerpen van “Statement of Protocol” en en akkoord over de uitwisseling van gegevens met de “Public Company Accounting Oversight Board” (hierna “PCAOB”) 12/2013Adviesaanvraag over het voorontwerp van wet houdende diverse bepalingen inzake administratieve vereenvoudiging “artikel 13” elektronische maaltijdcheques 13/2013Adviesaanvraag over het voorontwerp van wet houdende omzetting van richtlijn 2011/16/EU van de Raad van 15 februari 2011 betreffende de administratieve samenwerking op het gebied van de belastingen en tot intrekking van richtlijn 77/99/EEG Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 35 14/2013Voorontwerp van decreet ter vervanging van Boek II van het Waals Wetboek van sociale actie en gezondheid betreffende de Integratie van vreemdelingen of van personen van buitenlandse herkomst 15/2013Adviesaanvraag betreffende het voorontwerp van wet houdende diverse bepalingen inzake administratieve vereenvoudiging – artikelen 21 en 22: online toetredingen tot akkoorden 16/2013 Advies betreffende de bindende ondernemingsregels (Binding corporate rules of “BCR”) van de onderneming American Express 17/2013Adviesaanvraag betreffende het voorontwerp van besluit van de Vlaamse Regering tot uitvoering van het decreet van 8 mei 2009 betreffende het algemeen welzijnswerk 18/2013Advies naar aanleiding van een klacht tegen de installatie van een kwaliteitsgarantieplatform om telefoongesprekken tussen werknemers en potentiële klanten van de werkgever op te nemen 19/2013Ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 22 maart 1999 houdende uitvoering van artikel 156, §2, vierde lid, van de wet van 29 april 1996 houdende sociale bepalingen, met betrekking tot de wijze waarop de verzekeringsinstellingen aan de technische cel de noodzakelijke informatie meedelen voor de samenvoeging van de anonieme minimale klinische en financiële gegevens Ontwerp van koninklijk besluit houdende uitvoering van artikel 156, §2, vierde lid, van de wet van 29 april 1996 houdende sociale bepalingen, met betrekking tot de wijze waarop de algemene nietpsychiatrische ziekenhuizen aan de technische cel de noodzakelijke informatie meedelen voor de samenvoeging van de minimale klinische gegevens en anonieme financiële gegevens Ontwerp van koninklijk besluit houdende uitvoering van artikel 156, §2, vierde lid, van de wet-van 29 april 1996 houdende sociale bepalingen, met betrekking tot de wijze waarop de verzekeringsinstellingen aan de technische cel de noodzakelijke informatie meedelen voor de samenvoeging van de minimale klinische gegevens en anonieme financiële gegevens 20/2013Voorontwerp van wet houdende diverse bepalingen aangaande de werking van het netwerk van de sociale zekerheid – Bepalingen inzake de sociale identiteitskaart en de ISI+-kaart 21/2013Adviesaanvraag betreffende het voorontwerp van decreet houdende de organisatie van de preventieve gezinsondersteuning in Huizen van het Kind 22/2013Adviesaanvraag betreffende het voorontwerp van wet tot wijziging van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle 23/2013Advies m.b.t. het ontwerp van koninklijk besluit tot vaststelling van de criteria op basis waarvan gegevens als authentieke gegevens kwalificeren in uitvoering van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator 24/2013 Voorontwerp van ordonnantie betreffende de gewestelijke statistiek 25/2013Ontwerp van Koninklijk besluit betreffende de bemiddelaar in het kader van de bestrijding van de loonkloof tussen mannen en vrouwen 26/2013 Ontwerp van koninklijk besluit tot uitvoering van de wet houdende bepalingen inzake de sociale identiteitskaart en de ISI+-kaart 27/2013Adviesaanvraag betreffende twee wetsvoorstellen tot aanpassing van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse, enerzijds teneinde de internationale uitwisseling van DNA-gegevens te vergemakkelijken en anderzijds met het oog op de oprichting van een DNA gegevensbank « Vermiste personen » 28/2013Adviesaanvraag van de Federale Overheidsdienst Economie (Beheersdienst Kruispuntbank van Ondernemingen) houdende het ontwerp van koninklijk besluit tot uitvoering van artikel III.31 van het Wetboek van economisch recht en over het ontwerp van konink- 36 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 lijk besluit tot wijziging van het koninklijk besluit van 19 juni 2003 houdende de nadere regelen voor de toegang tot de Kruispuntbank van Ondernemingen 29/2013 Advies betreffende de bindende ondernemingsregels (Binding corporate rules of “BCR”) van de onderneming Intel 30/2013Adviesaanvraag betreffende het wetsontwerp tot aanvulling van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme, met het oog op de uitbreiding van de controlebevoegdheid van de Cel Financiële Informatieverwerking wat betreft het extremisme 31/2013Adviesaanvraag betreffende het voorstel van decreet houdende wijziging van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, wat de vaststelling van de toezicht- en handhavingsbevoegdheden van de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer betreft 32/2013Adviesaanvraag over het ontwerp van Koninklijk besluit tot wijziging van het koninklijk besluit van 16 juli 1992 tot vaststelling van de informatie die opgenomen wordt in de bevolkingsregisters en in het vreemdelingenregister en tot voorschrift van de inschrijving in het wachtregister van de vreemdelingen die niet beschikken over een identificatienummer van het Rijksregister en die in het huwelijk willen treden 33/2013Ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 15 december 1987 houdende uitvoering van de artikels 13 tot en met 17 van de wet op de ziekenhuizen zoals gecoördineerd door het koninklijk besluit van 7 augustus 1987 34/2013 Adviesaanvraag over het voorontwerp van wet houdende diverse bepalingen met betrekking tot medische hulpmiddelen 35/2013Adviesaanvraag betreffende twee ontwerpen van koninklijk besluit inzake de nadere vaststelling van informatieprocedures voor de uitwisseling tussen lidstaten van menselijke organen bestemd voor transplantatie 36/2013Voorontwerp van besluit van de regering van het Brussels Hoofdstedelijk Gewest houdende uitvoering van de ordonnantie van 28 oktober 2010 betreffende de ruimtelijke informatie in het Brussels Hoofdstedelijk Gewest 37/2013Ontwerp van besluit van de regering van de Franse Gemeenschap tot wijziging van het koninklijk besluit van 21 maart 1961 tot bepaling van de voorwaarden inzake de sociaal-medische tuberculosebestrijding, tot toekenning van subsidies ten bate van de bestrijding en tot vaststelling van de regelen waarnaar zij dienen toegekend 38/2013Adviesaanvraag betreffende een ontwerp van koninklijk besluit houdende bepaling van de regels volgens welke bepaalde urgentiegegevens moeten worden medegedeeld aan de Minister bevoegd voor Volksgezondheid 39/2013Adviesaanvraag betreffende drie wetsvoorstellen tot aanpassing van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse, ten eerste teneinde DNA-afname bij bepaalde groepen van veroordeelden te verplichten, ten tweede teneinde een DNA gegevensbank « Intervenanten » in strafzaken op te richten, ten derde teneinde een DNA gegevensbank « Inverdenkinggestelden en verdachten » in te voeren 40/2013Adviesaanvraag met betrekking tot een ontwerp van koninklijk besluit betreffende de uitwisseling van informatie tussen de DIV en andere staten krachtens de richtlijn 2011/82/EU ter facilitering van de grensoverschrijdende uitwisseling van informatie over verkeersveiligheidsgerelateerde verkeersovertredingen 41/2013Adviesaanvraag over het ontwerp van Koninklijk besluit tot regeling van sommige verzekeringsovereenkomsten tot waarborg van de terugbetaling van het kapitaal van een hypothecair krediet 42/2013 Voorontwerp van wet tot wijziging van de wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera’s 43/2013Adviesaanvraag betreffende twee ontwerpen van koninklijk besluit genomen in uitvoering van de wet van 4 augustus 1996 betreffende het welzijn van de werknemers bij de uitvoering van hun werk - aanwezigheidsregistratie op bouwplaatsen Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 37 44/2013Adviesaanvraag betreffende het voorontwerp van Decreet tot wijziging van sommige bepalingen van de “Code wallon de l’Action sociale et de la Santé” (Waals Wetboek van Sociale Actie en Gezondheid), betreffende de sociale akkoorden van de non-profitsector 45/2013 Adviesaanvraag betreffende het ontwerp van een Code wallon de l’agriculture (Waals Landbouwwetboek) 46/2013Adviesaanvraag over het voorontwerp van decreet tot oprichting van gegevensbanken van authentieke bronnen die betrekking hebben op de tewerkstelling in de non-profitsector in Wallonië, het zogenaamde “Cadastre de l’emploi non-marchand en Wallonie” of afgekort “CENM” 47/2013 Voorontwerp van wet betreffende het politioneel informatiebeheer 48/2013Adviesaanvraag betreffende een voorontwerp van decreet tot oprichting van een centrum voor de gezonde ontwikkeling van kinderen en jongeren 49/2013Advies inzake het ontwerp van Koninklijk besluit tot vaststelling van de voorwaarden en nadere regels van de toegang in real time van de federale en lokale politiediensten tot de beelden van de bewakingscamera’s die geïnstalleerd zijn op het net van de openbare vervoersmaatschappijen 50/2013Advies inzake het ontwerp van Koninklijk besluit tot aanwijzing van de categorieën van personen die bevoegd zijn om in real time de beelden te bekijken van de bewakingscamera’s die in niet-besloten plaatsen geïnstalleerd zijn, en tot bepaling van de voorwaarden waaraan deze personen moeten voldoen 51/2013 Adviesaanvraag inzake het voorontwerp van decreet betreffende de landinrichting 52/2013Adviesaanvraag betreffende een voorontwerp van besluit van de Vlaamse Regering betreffende het toegangsverbod tot de voertuigen van Vlaamse Vervoermaatschappij De Lijn 53/2013Adviesaanvraag betreffende een ontwerp van koninklijk besluit houdende bepaling van de regels volgens welke de ziekenhuizen gegevens met betrekking tot de “Treatment Demand Indicator” moeten meedelen aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft 54/2013 Voorontwerp van wet betreffende de vereenvoudiging van de procedure betreffende de overdracht van het loon 55/2013Adviesaanvraag betreffende sommige bepalingen van het voorontwerp van wet tot wijziging van sommige bepalingen met het oog op de elektronische procedure 56/2013Advies inzake het ontwerp van Koninklijk besluit tot vaststelling van de bijzondere voorwaarden betreffende het register van de gemeentelijke administratieve sancties ingevoerd bij artikel 44 van de wet van 24 juni 2013 betreffende de gemeentelijke administratieve sancties 57/2013Adviesaanvraag inzake het voorontwerp van decreet houdende de uitwisseling van informatie over een inname van het openbaar domein in het Vlaamse Gewest 58/2013Adviesaanvraag betreffende het ontwerp van Koninklijk Besluit betreffende de verhoogde verzekeringstegemoetkoming, bedoeld in artikel 37 § 19 van de wet betreffende de verplichte verzekering voor geneeskundige verzorging en uitkeringen, gecoördineerd op 14 juli 1994 59/2013Advies betreffende het ontwerp van koninklijk besluit tot wijziging van het koninklijk besluit van 27 april 2007 tot regeling van de wijze waarop de wilsverklaring inzake euthanasie wordt geregistreerd en via de diensten van het Rijksregister aan de betrokken artsen wordt meegedeeld 60/2013Adviesaanvraag m.b.t. het voorontwerp van wet met betrekking tot de geautomatiseerde verwerking van persoonsgegevens die noodzakelijk zijn voor Belgische paspoorten en reisdocumenten 38 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 61/2013 Ontwerp van koninklijk besluit betreffende biobanken 62/2013Voorontwerp van wet houdende diverse fiscale bepalingen, titel 4 modernisering van de patrimoniumdocumentatie 63/2013Voorontwerp van decreet betreffende de organisatie van het netwerk voor de gegevensdeling tussen de actoren in de zorg 64/2013Ontwerp van kaderovereenkomst afgesloten tussen het Comité van de verzekering voor geneeskundige verzorging van het RIZIV en het Wetenschappelijk Instituut Volksgezondheid, met toepassing van artikel 22, 20° van de wet betreffende de verplichte verzekering voor geneeskundige verzorging en uitkeringen, gecoördineerd op 14 juli 1994 65/2013Voorontwerp van decreet betreffende de opvang van kinderen tot twaalf jaar 66/2013Adviesaanvraag met betrekking tot het ontwerp van Koninklijk besluit houdende uitvoering van artikel 17quater van de wet van 4 juli 1962 betreffende de openbare statistiek 6.2Aanbevelingen 01/2013 Aanbeveling uit eigen beweging betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken 02/2013 Direct marketing en bescherming van persoonsgegevens 03/2013 Aanbeveling uit eigen beweging over het gebruik van traceertoestellen door politiediensten ten aan zien van hun personeelsleden 6.3 Aanbevelingen Latere Verwerking 01/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van het onderzoek “trajectoires des jeunes de 15 à 25 ans en formation en alternance auprès du SFPME/EMPME et des CEFA en région Bruxellois” verricht door de ULB-METICES 02/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke en statistische doeleinden in het kader van het onderzoek “Medische beslissingen rond het levenseinde van patiënten in Vlaanderen” verricht door de “Flanders Study to Improve End-of-life Care and Evaluation tools” - VUB Jette 03/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door het departement sociologie van de universiteit Antwerpen, Onderzoeksgroep milieu & leefomgeving betreffende een project (hinder)belevingsonderzoek haven van Antwerpen 04/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van het gezondheidsonderzoek “Toi et Ta Santé” door de UCL – Institut de Recherche Santé et Société 05/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door de Universiteit Gent (Onderzoeksgroep Criminologie en Rechtssociologie) betreffende een project ‘Nieuwe’ immigranten in de jeugdbescherming 06/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door Eandis betreffende een project “Step-up: een uniek ‘smart city’ project” 07/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door de heer Vincent Eechaudt betreffende het project “Prison Disciplinary Procedures & European Integration – A Comparative & European Study” Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 39 08/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van het onderzoek van de Interuniversitaire attractiepolen (IUAP) met als thema ‘Le Travail forcé et la Justice au Congo belge” uitgevoerd door CEGESOMA – Mevrouw Pascaline le Polain 09/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een doctoraatsproefschrift FNRS met als thema “L’approche historique de l’épuration administrative au sein de l’INR au lendemain de la Seconde Guerre mondiale” van mevrouw Céline Rase 10/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door het Instituut voor Landbouw- en Visserijonderzoek betreffende het project “WELLTRANS-ILVO” 11/2013Latere verwerking (LV) van niet-gecodeerde persoonsgegevens voor wetenschappelijke doeleinden in het kader van een onderzoek verricht door het departement Mobiliteit en Openbare Werken betreffende het “HB-onderzoek Tienen & Sint-Truiden” 40 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 7Belangrijkste internationale activiteiten van de Privacycommissie 7.1 Internationale conferenties persoonlijke levenssfeer en persoonsgegevens te bekijken vanuit drie invalshoeken: (1) de aan de gang zijnde hervormingen in de wereld: 7.1.1Europese Conferentie van de commissarissen voor gegevensbescherming interoperabiliteit tussen de regio’s; (2) privacy and technology en (3) de actoren: perspectieven, rol en belangen. De aanwezige gegevensbeschermingsautoriteiten hebben tevens 7 resoluties goedgekeurd De Europese Conferentie van commissarissen voor gegevensbe- over volgende thema’s: scherming – die naast de nationale gegevensbeschermingsautoriteiten van de lidstaten van de Europese Unie en de Raad van Europa, Resolution on the app-ification of society de instellingen van deze twee regionale Europese organisaties (EDPS, Commissie, Europol,…), alsook het OESO verenigt – ging door in Vertrekkend van de vaststelling dat– steeds talrijkere – mobiele toepas- Portugal op 16 en 17 mei 2013. Het belangrijkste thema van de confe- singen alomtegenwoordig zijn, op onze tablets, onze smartphones, rentie, getiteld “Protecting Privacy : the challenges ahead” betrof de in onze auto’s enz. , wil de resolutie de industrie sensibiliseren om hervorming van de Europese reglementering voor gegevensbescher- rekening te houden met de bescherming van de persoonsgegevens ming zowel op het niveau van de Europese Unie (Data Protection van gebruikers (onder meer door dit als een concurrentieel argument Reform: voorstellen van Verordening en Richtlijn) als op het niveau te gebruiken) en in het bijzonder met de beginselen privacy by design van de Raad van Europa (Verdrag 108) en in de schoot van de OESO en privacy by default. Zij vragen ook aan systeemoperatoren om hun (Organisatie voor Economische Samenwerking en Ontwikkeling). deel van de verantwoordelijkheid op te nemen. Ten slotte verbinden zij zich ertoe, in hun hoedanigheid van gegevensbeschermingsautoriteit, Op het einde van de conferentie hebben de commissarissen verschil- de wetgeving op dit gebied te doen naleven in een globale inspan- lende resoluties goedgekeurd, waaronder een over de toekomst van ning om de gebruiker (opnieuw) controle te verschaffen over zijn eigen de gegevensbescherming in Europa (Resolution on the future of Data gegevens (informatiebeheer). Protection in Europe). Met dergelijke hervormingsprojecten op tafel is het tijd voor evaluaties maar tevens is dit een unieke gelegenheid om Resolution on profiling een reglementair kader voor te stellen dat kan beantwoorden aan de evoluties in de ontwikkeling en het gebruik van nieuwe technologieën. Ook hier vormt informatiebeheer een van de belangrijkste bekommer- De keuzes die vandaag gemaakt worden, zullen belangrijke gevolgen nissen van de gegevensbeschermingsautoriteiten, die pleitten voor hebben voor het fundamentele recht op gegevensbescherming “van een effectief recht op toegang en op verbetering evenals voor een morgen”, alsook voor andere rechten die in het gedrang komen door menselijke tussenkomst vanaf het ogenblik dat op basis van profielen het ontbreken van een adequate bescherming van de persoonlijke beslissingen worden genomen die een wezenlijke invloed hebben levenssfeer en de persoonsgegevens: het recht op non-discriminatie, voor de betrokkenen. het recht op vrij verkeer, het recht op anonimiteit, het recht op vrije meningsuiting en het recht op menselijke waardigheid. Resolution on International Enforcement Coordination Andere resoluties verdienen een vermelding. De eerste beoogt het De gegevensbeschermingsautoriteiten moeten samenwerken, meer waarborgen van de gegevensbescherming in een trans-Atlantische in het bijzonder in de context van “grensoverschrijdende” geschillen. vrije handelszone (Resolution on “To ensure Data Protection in a Tran- De internationale conferentie belast een werkgroep om samen met satlantic Free Trade Area) ; de tweede handelt over het waarborgen andere netwerken een gezamenlijke aanpak te ontwikkelen op dit van een passende bescherming van gegevens bij Europol (Resolution gebied (cross-border case handling and enforcement) en een ontwerp on Europol). van kaderovereenkomst voor te stellen op de 36ste conferentie die in 2014 zal doorgaan op het eiland Mauritius. De conferentie steunt 7.1.2Internationale conferentie van de commissarissen voor gegevensbescherming eveneens de ontwikkeling van een beveiligd platform voor informatie- Tijdens de 35ste Internationale conferentie “Privacy : a compass Resolution on anchoring data protection and the protection of privacy in international law in turbulent world” die op uitnodiging van de Poolse gegevensbe- uitwisseling en het voeren van gemeenschappelijke acties. schermingsautoriteit doorging in Warschau van 23 tot 26 september 2013, hebben de deelnemers – waaronder de Privacycommissie – de In het verlengde van vroegere resoluties pleit de conferentie voor de gelegenheid gehad om de uitdagingen van de bescherming van de goedkeuring van een bindend juridisch instrument voor het omka- Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 41 deren van de bescherming van de persoonsgegevens op wereld- het gebruik van technieken die de impact op persoonsgegevens schaal. De conferentie verzoekt de regeringen te ijveren voor een beperken, zoals pseudonimisering en anonimisering. bijkomend protocol bij artikel 17 van het internationaal pact van de Verenigde Naties betreffende de burgerrechten en politieke rechten. 7.1.3 Conferentie van de AFAPDP Resolution on openness of Personal Data Practices Algemene vergadering van de Association Francophone des Autorités de Protection des Données Deze resolutie is meer dan een eenvoudig pleidooi voor een effectieve toepassing van het transparantiebeginsel (gericht aan de autoriteiten Op 21 en 22 november 2013 werd in Marrakech de 7e jaarlijkse confe- in het bijzonder, met inbegrip op het gebied van (openbare) veiligheid), rentie en de 7e algemene vergadering van de AFAPDP gehouden, de politie en de staatsveiligheid), en verzoekt de controleautoriteiten voorgezeten door Mevr. Chartier, voorzitter van de Commission maar ook de regeringen en andere organisaties te evalueren hoe de d’accès à l’information van Quebec, en in aanwezigheid van Mr. labels “privacy” , certificeringsmechanismen en andere trust marks Mohamed El Ouafa, vertegenwoordiger van de Marokkaanse over- zouden kunnen bijdragen tot het verhogen van deze transparantie. heid. Resolution on Digital education for all Deze studiedagen werden georganiseerd in samenwerking met de Organisation internationale de la Francophonie (OIF) en de Commis- Samen met andere partners meer in het bijzonder bevoegd inzake sion Nationale de contrôle de la protection des données à caractère onderwijs, engageert de conferentie zich onder meer om via een personnel (CNDP) van Marokko. Vertegenwoordigers uit 25 Fransta- werkgroep waaraan de Privacycommissie zal deelnemen, een lige landen hebben de vergaderingen bijgewoond. gemeenschappelijk programma voor digitaal onderwijs te ontwikkelen, gebaseerd op 5 principes (een specifieke bescherming voor Op de conferentie hebben de leden en de vertegenwoordigers van minderjarigen, een aan te moedigen continue opleiding, een even- de autoriteiten hun ervaringen gedeeld met betrekking tot, enerzijds, wichtige aanpak gebaseerd op zowel de risico’s als de opportuni- het beheer van hun externe communicatie (persrelaties, al dan niet teiten van de nieuwe technologieën, de persoonlijke ontwikkeling van gebruiken van sociale media, enz.) en anderzijds, de uitoefening van goede gewoonten en de bevordering van het respect voor de andere, hun controlebevoegdheden (onderzoeksbevoegdheden, de impact de ontwikkeling van een kritische geest) en bestemd om te beant- van de publicatie van onderzoeksverslagen en inspectierapporten, woorden aan 4 doelstellingen: het aantal ingediende klachten, enz.) •• gegevensbescherming integreren als een onderdeel van het digitale Tevens benadrukten ze het belang van het bewustmaken van gebrui- onderwijsprogramma; kers over de uitdagingen die inherent zijn aan mobiele apparaten en een rol vervullen bij de opleiding die verzekerd wordt door de verbin- diensten op het vlak van toestemming, transparantie en veiligheid, en dingspersonen en –organisaties (“de opleiders opleiden”) over de de noodzaak om richtsnoeren te ontwikkelen voor de belangrijkste aspecten van “de bescherming van de persoonlijke levenssfeer en actoren, namelijk de ontwikkelaars van mobiele toepassingen, dienst- de persoonsgegevens”; verleners of advertentienetwerken. •• •• de beroepen i.v.m. digitale technologie promoten; •• aanbevelingen en gedragsregels formuleren betreffende het gebruik Tijdens deze jaarlijkse conferentie werd ook een overzicht gegeven van nieuwe technologieën voor de verschillende betrokken doel- van de acties die de verschillende netwerken voor de bescherming groepen (kinderen, ouders, leerkrachten, bedrijven). van persoonsgegevens hebben ondernomen, zoals het Ibero-Amerikaans netwerk, het netwerk van de Asia-Pacific Economic Coope- Resolution on web tracking and privacy ration (APEC), de Economische Gemeenschap van West-Afrikaanse Staten (ECOWAS) en het netwerk van landen van Oost-Europa. Onder “webtracking” (technologie voor tracering op het web), verstaat Verder werd het volgende toegelicht: de activiteiten omtrent de men het volgen van alle aspecten van gedragingen op het web. modernisering van Verdrag nr. 108 tot bescherming van personen De verzamelde gegevens (IP-adressen, identificatiemiddelen enz.) in verband met de verwerking van persoonsgegevens aangenomen kunnen leiden tot het samenstellen van zeer omvangrijke databanken door de Raad van Europa in 1981 of het ontwerp van verordening die, in voorkomend geval, gekruist worden met andere, afkomstig van met betrekking tot Richtlijn 95/46/EG van het Europees Parlement andere toestellen, en tot het opstellen van profielen. Zonder het nut en de Raad betreffende de bescherming van natuurlijke personen in van webtracking voor veiligheidsdoeleinden of het voorkomen van verband met de verwerking van persoonsgegevens en betreffende fraude in twijfel te trekken, pleit de resolutie vooral voor de eerbie- het vrije verkeer van die gegevens. diging van de beginselen inzake finaliteit en privacy by design, voor kwalitatieve informatieverstrekking aan de internetgebruiker en voor Bovendien hebben de leden en de vertegenwoordigers van de gegevensbeschermingsautoriteiten hun standpunten en hun (re)acties in 42 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 het licht van de internationale actualiteit kunnen uitwisselen. In haar •• toespraak heeft Isabelle Falque-Pierrotin, voorzitter van de Commission nationale de l’informatique et des libertés (CNIL) in Frankrijk en Privacycommissie en de sectorale comités. •• secretaris-generaal van de AFAPDP, benadrukt dat persoonsgegevens, zoals blijkt uit de zaak-Snowden en de affaire-Prism, ons dage- de mechanismes van beheer, omkadering en de controle van gegevens door de openbare diensten, waaronder de politie. •• lijkse leven beginnen te beheersen, alsook de economie, en vooral dat deze gegevens een wapen zijn geworden in de strijd om macht de organisatie, de activiteiten en de interventiemechanismes van de de controlemechanismes en de beveiliging van gegevens via concrete gevallen. •• de problematiek van de doorgifte van gegevens en omkaderings- en dominantie van staten en bedrijven, die elk proberen hun visie procedures voor de doorgifte van persoonsgegevens in de Fransta- op te leggen. Zij heeft ook nog eens benadrukt dat de Francofonie lige wereld door middel van, onder meer, bindende ondernemings- als een derde stem moet gelden in het debat over het toezicht op regels en een samenwerkingsprotocol. grote schaal en een rol moet spelen in de ontwikkeling van een digitale maatschappij met respect voor de rechten van individuen, waar Deze studiedag heeft de Tunesische delegatie een beter inzicht iedereen kan genieten van de voordelen die de digitale wereld biedt, gegeven in de dagelijkse werkzaamheden van een gegevensbescher- zonder angst te moeten hebben voor wat de toekomst brengt of wat mingsautoriteit in de Europese Unie en het belang van een wettelijk perverse kant van het systeem kan aanrichten. kader inzake gegevensbescherming voor een dergelijke autoriteit. Deze overweging was zeer nuttig voor het ANC, als onderdeel van In dat opzicht hebben de autoriteiten van de AFAPDP in de Algemene Vergadering een resolutie goedgekeurd die aandringt op een grotere transparantie bij overheidshandelingen. Deze resolutie bevat de aanbeveling, in het bijzonder gericht tot de regeringen, om de hun grondwetherziening. 7.2Werkgroep gegevensbescherming “Artikel 29” – Groep 29 Verenigde Naties aan te zetten tot het goedkeuren van een juridisch bindend instrument ter bescherming van persoonsgegevens en in te •• Werkgroep van de Europese Unie; stemmen met Verdrag nr. 108 van de Raad van Europa en aanvullend •• Europese overheden voor gegevensbescherming (Europese Priva- protocol. cycommissies); •• Er werden ook twee andere resoluties goedgekeurd tijdens de Algemene Vergadering: één om digitaal onderwijs voor allen te bevor- Geharmoniseerde toepassing van de EU reglementering inzake gegevensbescherming; •• deren, en een andere resolutie met betrekking tot het toezicht op de Werkzaamheden in subwerkgroepen waaraan de Privacycommissie deelneemt. doorgifte van persoonsgegevens in de Franstalige wereld, met behulp van, onder meer, bindende ondernemingsregels en een samenwer- De Groep artikel 29 telt… eindelijk ….29 leden! kingsprotocol. Dit laatste is een uitloper uit de activiteiten van de werkgroep van de Privacycommissie, de CNDP en de CNIL (Commis- Aangezien het toetredingsverdrag van Kroatië tot de Europese Unie in sion nationale de l’informatique et des libertés) van de laatste twee werking is getreden op 1 juli 2013, telt de Groep artikel 29 sinds die jaar. datum effectief 29 leden, zijnde de 28 gegevensbeschermingsautoriteiten van de lidstaten van de Unie en de Europese Toezichthouder Bezoek van een delegatie van de Instance Nationale de la Protec- voor gegevensbescherming (EDPS) tion des Données Personnelles (INPDP) en de Assemblée Nationale Constituante (ANC) van Tunesië aan de Privacycommissie 7.2.1 Raadgevende en raadplegende activiteit Op 25 juli 2013 heeft de Privacycommissie de leden van de Assem- De werkgroep bracht in 2013 een aantal adviezen uit die werden blée Nationale Constituante verwelkomd, die zetelen in de INPDP, en voorbereid door zijn verschillende subwerkgroepen waaraan de de leden van de Commissie Rechten en Vrijheden en Buitenlandse medewerkers van secretariaat van het voorzitterschap van de Priva- Betrekkingen van de Assemblée Nationale Constituante van Tunesië cycommissie actief meewerken. Deze adviezen, goedgekeurd ter verwelkomd. uitvoering van de verschillende bevoegdheden van de Groep 29, kunnen in volgende thema’s worden onderverdeeld: Dit bezoek maakt deel uit van één van de programma’s van de Association francophone des autorités de protection des données person- •• nelles (AFAPDP). de reglementaire hervorming inzake bescherming van persoonsgegevens die door de Europese Commissie werd ingezet (2012) (1); •• “nieuwe” technologieën: impactanalyse voor slimme meters ( internet Om aan de verwachtingen van deze delegatie te voldoen, hebben van de dingen), cookies, applicaties voor intelligente toepassingen de vertegenwoordigers van het secretariaat van de Privacycommissie en drones (2); het volgende toegelicht: Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 43 •• de gevolgen van sommige Europese reglementeringen zoals de Het gebruik van privacyeffectbeoordelingen in de rechtshandhaving: richtlijn over het hergebruik van gegevens van de openbare sector de Groep 29 pleit ervoor dat de verplichtingen inzake privacyeffect- (ISP) (3); beoordelingen eveneens toepasselijk zouden zijn op het gebied van •• BCR verwerkers (bindende ondernemingsregels “verwerkers”) (4); rechtshandhaving. De uitvoering van dit soort beoordeling is des •• de sleutelbegrippen van de Richtlijn 95/46/EG: finaliteitsbeginsel (5); te belangrijker bij verwerkingen van persoonsgegevens die worden •• de dialoog met andere internationale instanties: Europese positione- uitgevoerd voor doeleinden van rechtshandhaving, onder meer gelet ring (6). op de verhoogde risico’s die dergelijke verwerkingen vormen voor de betrokkenen. 1. Voortzetting van de werkzaamheden betreffende de voorstellen van Verordening en Richtlijn (Data Protection Reform Package) die door de Europese Commissie werden neergelegd in januari 2012 De bevoegdheden van gegevensbeschermingsautoriteiten: de werkgroep betreurt dat de bepalingen van de ontwerprichtlijn betreffende de gegevensbeschermingsautoriteiten veel minder specifiek zijn dan die van de ontwerpverordening. Een betere afstemming van de Als vertegenwoordiger van de controleautoriteiten privacycommis- reglementering zou bijdragen tot coherentie en samenwerking. Het is sies, is de Groep 29 natuurlijk nauw betrokken bij de ontwerpen overigens essentieel dat de toezichthoudende autoriteiten toegang voor hervorming van de Europese reglementering inzake gegevens- zouden hebben tot alle gebouwen van rechtshandhavingsinstanties. bescherming. In het verlengde van zijn adviezen van 2012 nam de Eenzelfde toegang tot informatie wordt eveneens aanbevolen. De werkgroep deel aan het debat via verschillende brieven betreffende Groep 29 beveelt in dit verband dan ook aan om in de richtlijn aan het concept van leidende autoriteit (“lead authority”), het begrip uitoe- te geven welke informatie voor de gegevensbeschermingsautoriteiten fening van uitsluitend persoonlijke of huishoudelijke activiteiten en het toegankelijk zou moeten zijn als die noodzakelijk is voor de uitoefe- begrip “profilering”, alsook via gemotiveerde adviezen die hierna kort ning van hun toezichthoudende taken. Het is niet de bedoeling van worden toegelicht. het voorstel om de huidige toegangsdrempels tot gerubriceerde informatie voor de gegevensbeschermingsautoriteiten te verlagen. Advies 01/2013 met aanvullende input voor de besprekingen over het ontwerp voor een richtlijn inzake de bescherming van persoonsgegevens in het kader van de politiële en justitiële samenwerking in Werkdocument 01/2013: bijdrage aan het debat over uitvoeringshandelingen (WP 200) strafzaken (WP 201) De werkgroep keurde op 5 oktober 2012 advies 08/2012 goed met In dit nieuwe advies dat commentaar levert bij het voorstel van richtlijn aanvullende input voor de besprekingen over de hervorming van de betreffende de bescherming van natuurlijke personen in verband met gegevensbeschermingswetgeving. Een van de aangesneden kwes- de verwerking van persoonsgegevens door bevoegde autoriteiten ties was de vraag of de bepalingen die de Europese Commissie met het oog op de voorkoming, het onderzoek, de opsporing en de toelaten gedelegeerde handelingen en uitvoeringshandelingen goed vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en te keuren, wel degelijk gerechtvaardigd en noodzakelijk waren. betreffende het vrije verkeer van die gegevens, concentreert de Groep 29 zich op 4 elementen en stelt in voorkomend geval een amende- In de bijlagen bij dit advies 08/2012 bevindt zich een artikelsgewijze ment voor. analyse van de bepalingen betreffende eventuele gedelegeerde handelingen. In 2013 heeft de groep zich gebogen over de uitvoe- Het gebruik van gegevens van niet-verdachte personen: de Groep ringshandelingen, in het ontwerp van verordening, als middel om 29 meent dat niet-verdachte personen een bijzondere bescherming uniforme, meer technische voorwaarden voor de uitvoering van de moeten genieten. Er moet voor worden gezorgd dat de lidstaten verordening vast te stellen, zoals standaardformulieren en -proce- slechts kunnen overgaan tot een verwerking van gegevens van niet- dures. In het algemeen volgt de Groep 29 de volgende redenering: verdachte personen indien bepaalde voorwaarden zijn vervuld, en dat een bijkomende bescherming wordt geëist indien dergelijke gegevens •• worden verwerkt. uitvoeringshandelingen kunnen worden gebruikt wanneer eenvormige voorwaarden moeten worden vastgesteld voor de uitvoering van de voorgestelde verordening. De rechten van betrokkenen: de Groep begrijpt ten volle dat de poli- •• de goedkeuring van uitvoeringshandelingen versterkt het bindend tiediensten en gerechtelijke diensten niet steeds volledig transparant karakter van het gegevensbeschermingskader van de Unie, wat niet kunnen zijn omtrent de manier waarop zij met gegevens omgaan of volledig verenigbaar kan zijn met de invoering van het responsa- welke persoonsgegevens in hun dossiers zijn opgenomen. Dit kan biliseringsbeginsel (“accountability”), dat de praktische toepassing immers lopende onderzoeken in gevaar brengen. Niettemin meent de van de verplichtingen inzake gegevensbescherming overlaat aan Groep 29 evenzeer dat de huidige uitzonderingen op en beperkingen de verantwoordelijken voor de verwerking. In veel gevallen zou van de rechten van betrokkenen te ruim zijn. het volstaan te beschikken over een richting aangegeven door de 44 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 •• nationale gegevensbeschermingsautoriteiten en indien nodig door Slimme meters maken overigens deel uit van de eerste toepassingen het Europees Comité voor gegevensbescherming; die het internet van de dingen (internet of things) aankondigen. De in bepaalde bijzondere situaties zouden bindende regels met betrek- hiervoor vermelde risico’s dreigen nog toe te nemen gelet op de stij- king tot standaardformulieren en –procedures noodzakelijk kunnen gende beschikbaarheid van gegevens afkomstig van andere bronnen blijken indien hun bestaan effectief zou bijdragen aan de bevorde- zoals lokalisatiegegevens, traceer- en profileringgegevens van het ring van de gegevensbescherming en om te vermijden dat de markt internet, videobewakingssystemen en radiogestuurde identificatie- wordt vervalst, bijvoorbeeld wanneer er gevaar bestaat op forum systemen (RFID) waarmee de gegevens van slimme meters kunnen shopping. Volgens het advies van de Groep 29 is dit voornamelijk worden gecombineerd. het geval bij bepalingen die meer technische voorwaarden vereisen die niet kunnen opgenomen worden in de verordening ingevolge de Interessant om te vermelden is de definitie die wordt gegeven voor technologische neutraliteit van de algemene regels. een effectbeoordeling met betrekking tot gegevensbescherming “een systematisch proces voor de evaluatie van de potentiële effecten 2. Bijzondere aandacht voor nieuwe technologieën van risico’s wanneer verwerkingsoperaties specifieke risico’s kunnen opleveren voor de rechten en vrijheden van de betrokkenen, meer De Groep 29 heeft in zijn hoedanigheid van raadgevend orgaan van bepaald door hun aard, hun bereik of hun doeleinden” die moet de Europese Commissie op vraag van deze laatste het model onder- worden uitgevoerd door de voor verwerking verantwoordelijke of door zocht voor de privacyeffectbeoordeling van slimme meters. Hij heeft de verwerkers namens de voor de verwerking verantwoordelijke. eveneens het ontwerp “Smart Borders – slimme grenzen” onder- Volgens de Groep 29 dient het EBGB-model bijgevolg direct de feite- zocht. Hij heeft zich ook gebogen over de kwestie van de instemming lijke gevolgen voor betrokkenen aan te kaarten, zoals bijvoorbeeld met cookies en over drones. financiële verliezen als gevolg van onnauwkeurige facturering, prijsdiscriminatie of strafbare handelingen die worden vergemakkelijkt door Model voor privacyeffectbeoordeling van slimme meters (WP 205 en WP 209) ongeoorloofde profilering. Het is enkel onder die voorwaarde dat men zal kunnen spreken over een echte aanpak van de risico’s, met inbegrip van de risico’s die eigen zijn aan de betrokken sector. Op 9 maart 2012 publiceerde de Europese Commissie een aanbeveling inzake de voorbereiding van de uitrol van slimme metersys- Meer in het algemeen beveelt de werkgroep de Europese Commissie temen voor de elektriciteits- en gasmarkt. De aanbeveling voorziet aan een balans op te maken van de afgeronde en lopende werkzaam- erin dat de lidstaten een model zullen goedkeuren en implementeren heden op het gebied van BGB (bijvoorbeeld RFID) en de opportuniteit voor effectbeoordeling van deze systemen op de bescherming van te overwegen om een algemene methode voor EBGB te definiëren. persoonsgegevens (EBGB-model). De Europese Commissie heeft Wat de noodzaak van een verplichte privacyeffectbeoordeling betreft, een groep deskundigen gelast met het uitwerken van dit model dat herinnert de werkgroep aan de ervaring opgedaan met de effectbe- uiteindelijk ter advies zal voorgelegd worden aan de Groep 29. Reeds oordeling RFID en onderstreept dat de in de lidstaten beschikbare in 2012 heeft de Groep 29 het initiatief genomen bepaalde aanbeve- statistieken aantonen dat de toevlucht tot privacyeffectbeoordelingen lingen te richten aan deze groep deskundigen, en dit in lijn met het voor RFID uiterst gering is. Hoewel deze cijfers kunnen verklaard advies dat hij reeds in 2011 had verstrekt over deze thematiek (WP worden door verschillende redenen, lijkt een van de belangrijkste 183). factoren met zekerheid het momenteel ontbreken van een verplichting tot het uitvoeren van een dergelijke privacyeffectbeoordeling. De uitrol op Europese schaal van “slimme systemen op maat” laat een massale inzameling toe van persoonsgegevens afkomstig van De werkgroep verstrekte vervolgens een tweede advies waarin hij Europese gezinnen, gedetailleerd als nooit tevoren: slimme meters vaststelde dat het ontwerp van template methodologisch aanzien- laten toe af te leiden welke activiteiten gezinsleden uitoefenen in de lijk werd verbeterd. Hij meent echter dat verschillende aspecten nog privésfeer van hun woning en maken het dus mogelijk gedetailleerde moeten worden opgehelderd, onder meer, en dit is fundamenteel, profielen van deze personen op te stellen. Op basis van nauwkeurige de criteria om informatie te kwalificeren als een persoonsgegeven. gegevens betreffende energieverbruik is het mogelijk heel wat infor- De identificatie van wat moet worden beschouwd als een gegeven matie af te leiden met betrekking tot het gebruik van producten, hun mag niet verward worden met (of gereduceerd worden tot) de impact/ dagelijkse gewoonten, hun tijdsgebruik, hun levenswijze, hun activi- gevolgen voor het privéleven van een persoon. De Groep 29 beveelt teiten enz. Het gebruik van deze systemen vormt voor de betrok- aan een testfase voor de template te organiseren met de steun van kenen nieuwe risico’s die gevolgen kunnen hebben op verschillende de gegevensbeschermingsautoriteiten. gebieden (discriminatie inzake prijzen, profilering met het oog op gedragsgericht adverteren, fiscaliteit, toegang door de ordediensten, Slimme grenzen (smart borders – WP 206) veiligheid). Deze risico’s, die reeds voorkomen in andere omgevingen (zoals telecommunicatie, elektronische handel of internet) duiken dus Op 28 februari 2013 formuleerde de Europese Commissie voorstellen ook op in de energiesector. voor een inreis-/uitreissysteem (EES) en een programma voor gere- Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 45 gistreerde reizigers (RTP) voor het Schengengebied. Deze voorstellen en waarbij informatie wordt verstrekt via een stappenplan, gewoon- staan bekend onder de naam smart borders package. Er werd tevens lijk via een link of een reeks links die aan de gebruiker bijkomende een voorstel gedaan voor het aanbrengen van noodzakelijke wijzigingen aan de Schengengrenscode. Het voorstel betreffende het informatie verstrekken over de aard van de gebruikte cookies; •• inreis-/uitreissysteem berust op een gecentraliseerd opslagsysteem gebruiker van een website ermee instemt dat cookies worden geïn- met in- en uitreisgegevens van bezoekers die voor kort verblijf worden toegelaten tot het Schengengebied, (met of zonder visum). In plaats een onmiddellijk zichtbare waarschuwing die vermeldt dat de stalleerd door die website; •• informatieverstrekking aan gebruikers over de voorwaarden om van stempels te plaatsen in paspoorten bij de inreis in en de uitreis hun instemming met cookies te verlenen, ze in te trekken, en infor- uit het Schengengebied, zullen gegevens die betrekking hebben op matie betreffende de vereiste handelingen om hun keuze kenbaar te de identiteit van de bezoeker, de lengte en het doel van zijn verblijf bij inreis in het systeem worden ingevoerd. Bij uitreis worden deze gege- maken; •• vens gecontroleerd om te garanderen dat burgers uit derde landen de maximale toegestane verblijfsduur niet overschrijden. Het EESvoorstel voorziet in een systeem dat aanvankelijk gebaseerd is op een mechanisme aan de hand waarvan een gebruiker kan kiezen om alle of sommige cookies te aanvaarden of te weigeren; •• een aan de gebruiker geboden optie om een eerder gemaakte keuze inzake cookies te wijzigen. persoonsgegevens die nodig zijn voor de identificatie van personen. Na 3 jaar worden biometrische gegevens ingevoerd. In het alge- Gelet op de verschillende interpretaties die worden gegeven aan de meen meent de Groep 29 dat dit EES-systeem niet voldoet aan de richtlijn betreffende privacy en elektronische communicatie door de vereisten van noodzakelijkheid en evenredigheid om de gevolgen voor betrokken partijen en de respectievelijke voorwaarden voor toepas- het recht op bescherming van persoonsgegevens te rechtvaardigen sing van de bedoelde tekst, rijst de volgende vraag: welke toepassing zoals voorzien in artikel 8 van het Handvest van de grondrechten van zou juridisch conform zijn voor een website die wordt uitgebaat in alle de Europese Unie. lidstaten van de Unie? Werkdocument betreffende de richtlijnen voor het inwinnen van toestemming voor het gebruik van cookies (WP 208) In het verlengde van vorige adviezen, meer in het bijzonder dat over de definitie van geldige toestemming in alle lidstaten van de Unie, verklaart de werkgroep dat indien een webmaster wenst dat een Sinds de goedkeuring in 2009 van de tekst tot wijziging van de richt- toestemmingsmechanisme voor het gebruik van cookies voldoet aan lijn betreffende privacy en elektronische communicatie 2002/58/EG, de voorwaarden die in elke lidstaat gesteld worden, dit mechanisme omgezet in alle lidstaten van de EU, hebben alle websites een aantal elk van de volgende kenmerken zou moeten vertonen: specifieke praktische toepassingen uitgewerkt om de toestemming te vragen informatieverstrekking, voorafgaande toestemming, keuze kenbaar voor het gebruik van cookies of andere gelijkaardige traceertechno- gemaakt door een actieve handeling van de gebruiker en mogelijkheid logieën die gebruikt worden voor verschillende doeleinden (zoals het tot vrije keuze. Elk van deze elementen wordt in detail onderzocht in verbeteren van functionaliteiten, analytiek, gerichte reclame en opti- het advies. malisering van producten, enz.) door webmasters of derden. Advies 02/2013 over apps op intelligente apparaten (WP 202) De webmaster kan verschillende manieren aanwenden om de toestemming te bekomen op voorwaarde dat deze in het licht van de De Groep 29 vertrekt van de vaststelling dat de apps in staat zijn grote EU-reglementering als geldig beschouwd kan worden. hoeveelheden gegevens te verzamelen afkomstig van courante intelligente apparaten (gegevens die op het apparaat zijn opgeslagen door Hoewel de richtlijn betreffende privacy en elektronische communi- de gebruiker of gegevens afkomstig van verschillende sensoren, zoals catie bepaalt dat toestemming vereist is om cookies op te slaan of locatiegegevens) en die te verwerken om de eindgebruiker nieuwe en er toegang toe te hebben, varieert de praktische uitvoering van deze innovatieve diensten te verlenen. De Groep stelt eveneens vast dat juridische verplichting van webmaster tot webmaster in alle lidstaten app-ontwikkelaars die zich vaak niet bewust zijn van de verplichtingen van de Unie. De momenteel vastgestelde gebruiken op dit gebied inzake gegevensbescherming. De belangrijkste risico’s voor eindge- berusten op een of meer van de volgende praktijken, hoewel moet bruikers op het gebied van gegevensbescherming zijn het gebrek aan worden opgemerkt dat zelfs indien zij nuttig kunnen zijn om toestem- transparantie en kennis met betrekking tot de verwerking die door ming te krijgen, het onwaarschijnlijk is dat slechts een van deze prak- een app zou kunnen worden uitgevoerd, gecombineerd met het tijken volstaat aangezien aan alle voorwaarden voor een dergelijke ontbreken van een uitdrukkelijke toestemming van de eindgebruiker toestemming voldaan moet zijn (zo vergt bijvoorbeeld een effectief voordat verwerking plaatsvindt. Slechte beveiligingsmaatregelen, een keuzemechanisme eveneens het versturen van een waarschuwing en duidelijke trend in de richting van maximale gegevensinzameling en informatie): de rekbaarheid van de doelen waarvoor persoonsgegevens worden verzameld, dragen verder bij aan de risico’s die de huidige markt voor •• een onmiddellijk zichtbare waarschuwing die vermeldt dat verschil- apps met zich meebrengt op het gebied van gegevensbescherming. lende soorten cookies worden gebruikt door de bezochte website Het advies wil het juridisch kader verduidelijken dat de gegevensver- 46 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 werking regelt bij de ontwikkeling, de distributie en het gebruik van onderhavig advies verderop aantoont slaat deze verplichting niet op apps bestemd voor intelligente apparaten en de nadruk leggen op de openbaarmaking van persoonsgegevens maar enkel op het herge- verplichte toestemming, de beginselen van doelbinding en gegevens- bruik van informatie die reeds openbaar toegankelijk is krachtens de minimalisering, de noodzaak om passende veiligheidsmaatregelen te nationale wetgeving en, zelfs dan enkel als het hergebruik niet in strijd nemen, de verplichting om de eindgebruiker correct te informeren, is met de bepalingen van de geldende wetgeving inzake gegevens- de rechten van deze laatste, redelijke bewaringstermijnen en, meer in bescherming. het bijzonder, een loyale verwerking van gegevens afkomstig van en betreffende kinderen. Tot besluit herhaalt de Groep 29 dat het hergebruik van overheidsinformatie voordelen kan bieden die de transparantie en het innova- Drones tief hergebruik van overheidsinformatie kunnen bevorderen. Toch is de betere toegankelijkheid van informatie die daaruit voortvloeit niet In mei 2013 stuurde de DG Ondernemingen en Industrie van de Euro- zonder risico. Er moet een uitgebalanceerde benadering worden pese Commissie een vragenlijst aan de Groep 29 met betrekking tot gehanteerd om de bescherming van de persoonlijke levenssfeer de kwesties inzake bescherming van het privéleven en persoons- en persoonsgegevens van de natuurlijke personen te waarborgen. gegevens bij het gebruik van drones door regeringen en private en De wetgeving inzake gegevensbescherming moet bijdragen tot het commerciële operatoren (persoonlijk en recreatief gebruik uitgezon- selectieproces van persoonsgegevens die al dan niet mogen beschik- derd). Op de website van de Groep 29 is een samenvatting beschik- baar gesteld worden voor hergebruik, alsook voor het nemen van de baar van de overwegingen van de nationale gegevensbeschermings- maatregelen om de persoonsgegevens te beschermen. autoriteiten, waarvan wordt benadrukt dat niet zozeer het gebruik van drones maar wel het gebruik van de verschillende technologieën die Los van het beginsel van hergebruik geformuleerd in de gewijzigde hiermee gepaard gaan een probleem vormen (hoge resolutiecame- richtlijn overheidsinformatie, is het hergebruik voor commerciële ra’s, micro’s, infraroodcamera’s, onderschepping van wi-fi commu- of niet-commerciële doeleinden overeenkomstig de richtlijn over- nicatie), alsook de inzameling en verwerking van persoonsgegevens heidsinformatie niet steeds aangewezen indien de voor hergebruik die hieruit voortvloeien. De uitoefening van rechten, kennisgeving aan bestemde overheidsinformatie persoonsgegevens bevat. Het zijn de betrokkenen, onder meer over het beoogde doeleinde, zijn even- niet zozeer persoonsgegevens, maar statistische gegevens op basis veel basisbeginselen van de bescherming van persoonsgegevens van persoonsgegevens die gewoonlijk voor hergebruik ter beschik- waarvan de toepassing moeilijk, dan wel onmogelijk lijkt. Het vraag- king worden gesteld en, in principe, ter beschikking moeten worden stuk wordt reeds onderzocht door verschillende gegevensbescher- gesteld. mingsautoriteiten (de Privacycommissie plant dit onderzoek in 2014). Niettemin kan in sommige gevallen ook worden geoordeeld dat 3. De gevolgen voor de gegevensbescherming van sommige Europese reglementeringen persoonsgegevens beschikbaar zijn voor hergebruik overeenkomstig de voorwaarden van de richtlijn overheidsinformatie, waarbij eventueel aanvullende wettelijke, technische of organisatorische maatre- Advies 6/2013 over open gegevens en hergebruik van overheidsinformatie (WP 207) gelen moeten worden getroffen ter bescherming van de betrokkenen. Voor deze gevallen herhaalt de Groep dat het van groot belang is een solide rechtsgrond vast te stellen voor de openbare terbeschikking- Op 26 juni 2013 heeft de Europese Unie Richtlijn 2013/37/EU van stelling van persoonsgegevens, rekening houdend met de relevante het Europees Parlement en de Raad (de “gewijzigde richtlijn over- bepalingen inzake gegevensbescherming, waaronder het beginsel heidsinformatie”) tot wijziging van Richtlijn 2003/98/EG inzake het van evenredigheid, minimalisering van de gegevensverwerking hergebruik van overheidsinformatie (de “richtlijn overheidsinformatie”) en doelbinding. In deze context moet ook opnieuw worden bena- vastgesteld. drukt dat alle, al dan niet openbaar beschikbare, gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als De richtlijn overheidsinformatie is bedoeld om het hergebruik van persoonsgegevens gelden. Daarom geldt voor de toegang tot en het overheidsinformatie te vereenvoudigen door de voorwaarden voor hergebruik van persoonsgegevens die openbaar ter beschikking zijn hergebruik in de Europese Unie te harmoniseren en onnodige belem- gesteld steeds de toepasselijke wetgeving inzake gegevensbescher- meringen voor hergebruik op de interne markt weg te nemen. ming. De oorspronkelijke tekst uit 2003 van de richtlijn overheidsinformatie In het licht van deze overwegingen doet de Groep de volgende voorzag in de harmonisatie van de voorwaarden voor hergebruik, aanbevelingen: maar niet in de vereiste dat openbare lichamen gegevens ter beschikking moeten stellen voor hergebruik. De richtlijn overheidsinformatie •• overeenkomstig de beginselen van “privacy by design” en “privacy verplicht dus de organismen van de openbare sector het hergebruik by default” moet er, wanneer wordt overwogen om overheidsinfor- toe te laten van alle openbare gegevens die zij bezitten. Zoals het matie openbaar ter beschikking te stellen, in een zo vroeg mogelijk Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 47 stadium rekening worden gehouden met de mogelijkheid dat overheidsinformatie persoonsgegevens bevat; •• op grond hiervan moet het betrokken openbare lichaam (of de 4. Beschermingsinstrumenten voor grensoverschrijdende doorgiften en om aan de noden van multinationals te beantwoorden wetgever, naargelang van het geval) een privacyeffectbeoordeling uitvoeren alvorens persoonsgegevens bevattende overheidsin- BCR verwerkers (WP204) formatie ter beschikking kan worden gesteld voor hergebruik (of •• •• •• •• alvorens een wet wordt vastgesteld die de publicatie van persoons- In 2010 stelde de Europese Commissie een nieuwe reeks modelcon- gegevens toestaat, waardoor deze gegevens mogelijk beschikbaar tractbepalingen vast betreffende de doorgifte van gegevens tussen worden voor hergebruik); ook moet een privacyeffectbeoordeling voor de verwerking verantwoordelijken en verwerkers als reactie worden uitgevoerd wanneer geanonimiseerde datasets op basis op de groei van verwerkingsactiviteiten en met name de opkomst van persoonsgegevens voor hergebruik ter beschikking zullen van nieuwe bedrijfsmodellen voor de internationale verwerking van worden gesteld; persoonsgegevens. Hoewel modelcontractbepalingen een doel- wanneer datasets worden geanonimiseerd, is het van essentieel matige methode lijken te zijn voor het reguleren van niet-massale belang dat het risico van heridentificatie wordt beoordeeld en geldt doorgiften van een gegevensexporteur binnen de EU naar een gege- het als goede praktijk om heridentificatietests uit te voeren; vensimporteur buiten de EU, heeft de outsourcingsector blijvend de uitkomst van de beoordelingen kan helpen bij de vaststelling aangedrongen op een nieuw wettelijk instrument dat een wereldwijde van passende waarborgen om risico’s te verkleinen, waaronder aanpak van de gegevensbescherming in de outsourcingsector moge- ook wettelijke, technische en organisatorische maatregelen, zoals lijk maakt en officiële erkenning biedt voor de interne voorschriften die geschikte licentievoorwaarden en technische maatregelen ter voor- organisaties al hebben ingevoerd. Zo heeft de Groep 29 in 2012 een koming van massadownloads van gegevens, alsook adequate werkdocument opgesteld (WP 195) dat de elementen en beginselen anonimiseringstechnieken; dit kan ook tot het besluit voeren om af bevat die in bindende bedrijfsvoorschriften voor verwerkers moeten te zien van de openbaarmaking en/of de terbeschikkingstelling voor worden opgenomen – voor de omkadering van massale gegevens- hergebruik; doorgiften door een verwerker naar latere verwerkers binnen dezelfde de licentievoorwaarden voor het hergebruik van overheidsinfor- organisatie die optreden voor rekening van en volgens de onder- matie moeten een clausule inzake gegevensbescherming bevatten richtingen van een verantwoordelijke voor de verwerking - alsook wanneer persoonsgegevens worden verwerkt, maar ook wanneer een aanvraagformulier voor het indienen van bindende bedrijfsvoor- geanonimiseerde datasets op basis van persoonsgegevens ter schriften voor verwerkers. De invoering van bindende bedrijfsvoor- beschikking worden gesteld voor hergebruik; schriften voor verwerkers werd op 5 december 2012 door de Groep indien de privacyeffectbeoordeling uitwijst dat een vrije licentie niet 29 bevestigd. voldoende is om de privacyrisico’s aan te pakken, mogen open- •• bare lichamen geen persoonsgegevens ter beschikking stellen uit In de in 2013 goedgekeurde toelichting verduidelijkt de Groep 29 de hoofde van de richtlijn overheidsinformatie. (Het openbare lichaam inhoudelijke elementen van bindende bedrijfsvoorschriften, de regels mag echter nog steeds zelf beslissen om hergebruik buiten de met betrekking tot de afdwingbaarheid ervan, de middelen om de voorwaarden en het toepassingsgebied van de richtlijn overheids- naleving en handhaving ervan te garanderen alsook de aansprake- informatie te overwegen en kan ook van aanvragers eisen dat zij lijkheidsvraagstukken. Dit document vormt een eerste beslissende aantonen dat eventuele risico’s voor de bescherming van persoons- stap voor de bevordering van het gebruik van op verwerkers toepas- gegevens afdoende zijn aangepakt en dat de aanvrager de gege- selijke bindende bedrijfsvoorschriften in een zelfregulerend kader vens in overeenstemming met de geldende wetgeving inzake gege- van samenwerking tussen gegevensbeschermingsautoriteiten. Dit vensbescherming zal verwerken); doet natuurlijk niets af aan de mogelijkheid om gebruik te maken van waar nodig moeten openbare lichamen ervoor zorgen dat persoons- andere instrumenten voor gegevensdoorgiften naar derde landen, gegevens worden geanonimiseerd en dat de licentievoorwaarden zoals modelcontractbepalingen of in voorkomend geval de “Safe een specifiek verbod bevatten op de heridentificatie van betrok- Harbor”-beginselen. kenen en op het hergebruik van persoonsgegevens voor doeleinden die de betrokkenen kunnen schaden; •• tot slot moeten lidstaten tevens overwegen om steun vast te 5. Bijdrage tot een geharmoniseerde toepassing van de momenteel van kracht zijnde Richtlijn 95/46/EG stellen en te verlenen aan kennisnetwerken/excellentiecentra en het zodoende mogelijk maken om goede praktijken inzake anonimise- Advies betreffende het finaliteitsbeginsel (WP 203) ring en open gegevens uit te wisselen. Zoals hij dat deed voor de begrippen “persoonsgegevens” , “verantwoordelijke voor de verwerking en verwerker” heeft de Groep 29 ook het finaliteitsbeginsel onderzocht. Na een grondige analyse formuleert hij een aantal aanbevelingen voor een concrete toepassing van dit sleutelbegrip van het gegevensbeschermingsstelsel. Dit beginsel 48 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 beschermt de betrokkenen door beperkingen op te leggen aan de verantwoordelijken voor de verwerking voor het gebruik van gegevens, doch niet zonder hen een zekere flexibiliteit te bieden. Het fina- 7.3IWGDPT (International Working Group on Data Protection in Telecommunication) liteitsbeginsel steunt op twee vereisten: (1) gegevens moeten ingezameld worden voor specifieke, uitdrukkelijke en gerechtvaardigde •• “Groep van Berlijn”; doeleinden en (2) de gegevens mogen niet verder worden verwerkt •• Bescherming persoonsgegevens in telecommunicatiesector. op een wijze die onverenigbaar is met de oorspronkelijke doeleinden. Een latere verwerking is dus niet per definitie onverenigbaar. Het Ook dit jaar heeft het secretariaat van de Privacycommissie deelge- onderzoek naar de verenigbaarheid gebeurt geval per geval, rekening nomen aan de halfjaarlijkse vergaderingen van de IWGDPT (Inter- houdend met het geheel van omstandigheden van de verwerking. Het national Working Group on Data Protection in Telecommunication), advies somt een aantal parameters op waarmee onder meer dient ook de “Groep van Berlijn” genaamd. Deze internationale werkgroep rekening te worden gehouden: behandelt de bescherming van persoonsgegevens in het domein telecommunicatie en nieuwe technologieën. •• •• het verband tussen het doeleinde waarvoor de gegevens oorspronkelijk werden ingezameld en de doeleinden van de latere verwerking; Volgende working papers zijn dit jaar het voornaamste resultaat van de context waarin de gegevens werden ingezameld en de redelijke deze vergaderingen: verwachtingen van de betrokkenen betreffende het latere gebruik ervan; •• voor de betrokkene; •• •• de aard van de gegevens en de impact van de latere verwerking Working Paper on the Human Right to Telecommunications Secrecy (Berlijn, 2-3 september 2013); •• de door de verantwoordelijke voor de verwerking voorziene garan- Working Paper and Recommendations on the Publication of Personal Data on the Web, Website Contents Indexing and the ties om ieder ongewenst gevolg voor de betrokkene te vermijden. Protection of Privacy (Praag, 15-16 april 2013); •• Working Paper on Web Tracking and Privacy: Respect for context, In ditzelfde advies onderzoekt de Groep 29 op kritische wijze hoe dit transparency and control remains essential (Praag, 15-16 april beginsel wordt omkaderd in het ontwerp van verordening dat door 2013). de Europese Commissie werd neergelegd in januari 2012. De Groep 29verzet zich tegen de ruime uitzonderingen op dit beginsel die in de Deze documenten zijn beschikbaar op de website van de IWGDPT: ontwerptekst zijn opgenomen en pleit ervoor dat de lijst met criteria – niet exhaustief maar waar vaak gebruik van wordt gemaakt – in deze http://www.datenschutz-berlin.de/content/europa-international/inter- op handen zijnde reglementering zou worden opgenomen. national-working-group-on-data-protection-in-telecommunicationsiwgdpt/working-papers-and-common-positions-adopted-by-the- 6. In dialoog met de buitenwereld en andere internationale instanties: Europese positionering working-group Op vraag van Duitsland en verschillende andere landen waaronder De Groep 29 leverde eveneens een bijdrage in het raam van de open- België werd de tekst van de Working Paper on Web Tracking and bare raadpleging door het Wereldantidopingagentschap (WADA) Privacy: Respect for context, transparency and control remains over de ontwerpen van een code en bijgevoegde internationale essential vervolgens voorgelegd aan de 35ste Internationale Confe- standaarden (o.m. deze betreffende de bescherming van persoon- rentie van commissarissen voor gegevensbescherming en privacy, lijke informatie). De Groep 29 dringt aan op eerbiediging van de en diende hij als basis voor de door de conferentie goedgekeurde grondrechten van sportlui en hun entourage, met name hun recht resolutie: Resolution on web tracking and privacy (Warschau, 23-26 op bescherming van de persoonlijke levenssfeer en persoonsgege- september 2013) vens. Hij dringt in het bijzonder aan op de vereiste kenmerken van de toestemming en op proportionaliteit, zowel betreffende de vraag naar Dit document is beschikbaar op volgend adres : lokalisatiegegevens (whereabouts) als inzake de bewaringstermijn van de gegevens in het algemeen. https://privacyconference2013.org/web/pageFiles/kcfinder/ files/8.%20Webtracking%20Resolution%20EN%281%29.pdf Ten slotte heeft de Groep 29 zijn werkzaamheden verdergezet met betrekking tot de thematiek van de gegevensbescherming en de strijd tegen witwaspraktijken, betreffende het TFTP II-akkoord met de Verenigde Staten en heeft hij de ontwerpen onderzocht van de IATA (International Air Transport Association) en van de ICANN (Internet Corporation for Assigned Names and Numbers). Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 49 7.4 Gemeenschappelijke controleorganen genlanden als van consulaten van deze landen die in niet EU-staten gevestigd zijn. Ook de computersystemen aan alle grensovergangen 7.4.1Schengen van Schengenlanden die grenzen aan niet-Schengenlanden, zijn aan de centrale infrastructuur gekoppeld. Het systeem verwerkt gegevens •• Informatie-uitwisseling via het SIS en beslissingen over visumaanvragen voor een kort verblijf in of een •• Uitvoering Schengenovereenkomst transit door de Schengenzone. Voor identificatie in het systeem wordt biometrie gebruikt, voornamelijk vingerafdrukken. Het Schengeninformatiesysteem ( “SIS”) is een bestand dat gemeenschappelijk is voor alle lidstaten van de Schengenruimte. Hierin Alle landen van de Schengenzone gebruiken het VIS. De bevoegde worden twee grote categorieën informatie gecentraliseerd, enerzijds autoriteiten voor visumuitgifte in deze landen hebben toegang tot de informatie over gezochte of verdwenen personen of personen die centrale databank voor alle visumaanvragen. Ook de autoriteiten die onder toezicht werden geplaatst, anderzijds informatie over gezochte verantwoordelijk zijn voor identificatie en controles aan de buiten- voertuigen of voorwerpen zoals identiteitsdocumenten, inschrijvings- grenzen van de Schengenzone mogen het systeem raadplegen, net bewijzen en nummerplaten van voertuigen. zoals overheden die asielaanvragen behandelen. In uitzonderlijke gevallen wordt het VIS ook gebruikt om misdrijven te onderzoeken. De geregistreerde gegevens zijn onderworpen aan strenge beschermingsregels. Daarom werd een gemeenschappelijke controleautori- De Europese Toezichthouder voor gegevensbescherming (EDPS) teit (“GCA”) opgericht, die bestaat uit leden van de verschillende nati- houdt toezicht op de gegevensverwerkingen in het centrale gedeelte onale autoriteiten voor gegevensbescherming. De GCA vergadert elk van het VIS-systeem. De nationale toezichthoudende autoriteiten, trimester. Zij publiceert adviezen, voert onderzoeken en inspecties uit waaronder dus ook de Privacycommissie, houden toezicht op de en volgt technische en juridische evoluties op. rechtmatigheid van de gegevensverwerkingen op nationaal niveau, alsook op de verzending van de gegevens naar het centrale gedeelte SIS II Supervision Coordination Group van het systeem. Teneinde een gecoördineerde aanpak te waarborgen werd een coördinerende controlegroep (“toezichtgroep”) De Supervision Coordination Group (SCG) SIS II is een onafhankelijke opgericht, samengesteld uit de EDPS en de nationale gegevensbe- instantie die is samengesteld uit leden van elke nationale gegevens- schermingsautoriteiten, die op regelmatige tijdstippen vergadert om beschermingsautoriteit en de EDPS. Het secretariaat van de SCG de gemeenschappelijke problemen te onderzoeken die zich stellen wordt verzorgd door de Europese Toezichthouder voor gegevensbe- met de werking van het VIS-systeem. scherming (EDPS). De toezichtgroep heeft voor de komende jaren een werkprogramma Deze SCG bestaat sinds 9 april 2013, omdat op die datum SIS II voorbereid. Dit programma voorziet in: in werking is getreden. Voordien waakte de gemeenschappelijke controleautoriteit Schengen (de Schengen Joint Supervisory Autho- •• rity of JSA Schengen) over de rechtmatigheid van de verwerkingen bescherming zowel op nationaal als op Europees niveau (om de van persoonsgegevens binnen de SIS-databank. In de SIS II-verordening (Verordening (EG) nr. 1987/2006 van het Europees Parlement en 4 jaar); •• de Raad van 20 december 2006 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede een volledige veiligheidsaudit door de overheden voor gegevens- gecoördineerde inspecties en uitwerking van een gemeenschappelijk activiteitenverslag (om de 2 jaar); •• generatie) zijn de technische aspecten en de werking van SIS II vast- specifieke activiteiten gebaseerd op noden die door de supervisiegroep worden vastgesteld (jaarlijks). gesteld, alsook de voorwaarden voor de invoering van signaleringen in de databank met het oog op weigering van toegang of verblijf voor 7.4.3Europol onderdanen van derde landen, de verwerking van gegevens betreffende signaleringen en de voorwaarden voor gegevensbescherming. •• Correcte opslag, verwerking en gebruik Europol-gegevens •• Wettigheid gegevensdoorgifte vanuit Europol 7.4.2 Toezichtgroep VIS Een gemeenschappelijk controleorgaan (hierna “GCO”), samen•• Toezicht op het Visa Informatie Systeem (VIS); gesteld uit vertegenwoordigers van de nationale controleorganen •• Uitwisseling van visumgegevens. (waaronder de Privacycommissie), is belast met het toezicht op de activiteiten van Europol teneinde erover te waken dat de opslag, Dankzij het Visa Informatie Systeem (VIS) kunnen de Schengenlanden de verwerking en het gebruik van de gegevens waarover Europol visumgegevens uitwisselen. Het bestaat uit een centraal computer- beschikt, geen afbreuk doen aan de rechten van de burgers. Het systeem dat verbonden is met nationale informaticasystemen van controleert bovendien de rechtmatigheid van doorgiften van gege- zowel de overheden die bevoegd zijn voor visumuitgifte in Schen- vens die afkomstig zijn van Europol. 50 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Inspectie De toezichtgroep heeft voor de komende jaren een werkprogramma voorbereid. Dit programma voorziet in: In maart 2013 heeft het GCO een controleteam afgevaardigd om onder meer : •• een volledige veiligheidsaudit door de overheden voor gegevensbescherming zowel op nationaal als op Europees niveau (om de •• de inhoud en de kwaliteit te controleren van persoonsgegevens die 4 jaar); verwerkt worden door Europol in werkbestanden en in het Europo- •• gecoördineerde inspecties (om de 2 jaar); linformatiesysteem; •• specifieke activiteiten gebaseerd op noden die door de supervisie- •• de werking van het Europolinformatiesysteem te controleren; •• de technische infrastructuur van Europol te controleren; •• het Siena-systeem te controleren. SIENA (Secure Information Exchange Application, een informaticatool die Europol gebruikt voor operationele en misdaadgerelateerde informatieuitwisseling). Een rapport hierover is hierover goedgekeurd en vervolgens – gedeel- groep worden vastgesteld (jaarlijks). 7.5Hervorming van het Europees reglementair kader voor gegevensbescherming •• telijk – bekendgemaakt. Europees voorstel van verordening ter vervanging van de huidige Richtlijn 95/46/EG; •• Follow-up door interne werkgroep Privacycommissie 7.4.4 Coördinatiegroep Eurodac In 2012 bracht de Privacycommissie een kritisch advies uit (35/2012) •• Digitale vingerafdrukken van asielzoekers en immigranten op over het voorstel van Verordening betreffende gegevensbescher- EU-grondgebied ming dat door de Europese Commissie in januari van hetzelfde jaar •• Toepassing Verordening van Dublin werd neergelegd. Met deze voorstellen van verordening en richtlijn •• Toezicht door Europese Toezichthouder voor gegevensbescherming ter omkadering van de gegevensbescherming in de sectoren van en nationale gegevensbeschermingsautoriteiten politie en gerecht, ijvert de Europese Commissie voor een ambitieuze hervorming van het Europees reglementair kader voor gegevensbe- Eurodac is een informatiesysteem dat de digitale vingerafdrukken scherming. bevat van asielzoekers en illegale immigranten die zich op het grondgebied van de EU bevinden. De lidstaten kunnen via Eurodac asiel- In 2013 heeft de werkgroep, waaronder het voorzitterschap van de aanvragers identificeren, alsook personen die aangehouden werden Privacycommissie alsook leden van haar secretariaat, intensief verder wegens het onrechtmatig overschrijden van een buitengrens van gewerkt aan de analyse en steun verleend aan de FOD Justitie in het de Gemeenschap. Door vingerafdrukken te vergelijken kunnen de raam van de onderhandeling van de tekst in de Raad, via juridische lidstaten nagaan of een asielzoeker of een vreemdeling die illegaal nota’s (gedelegeerde handelingen, risk based approach, pseudonimi- op het grondgebied verblijft reeds een asielaanvraag indiende in een sering…), door hun aanwezigheid bij vergaderingen van de Europese andere lidstaat of nog, of de asielzoeker op onregelmatige wijze het Directie Generaal (DGE) en de FOD Buitenlandse Zaken of nog bij de grondgebied van de Unie heeft betreden. vergaderingen van DAPIX (Technische werkgroep “Working Party on Information Exchange and Data Protection”). De werkgroep vestigde Teneinde een gecoördineerde aanpak te waarborgen werd een coör- eveneens de aandacht van de federale regering en van de kamer dinerende controlegroep (“toezichtgroep”) opgericht, samengesteld van volksvertegenwoordigers op de gevolgen van deze voorstellen uit de Europese Toezichthouder voor gegevensbescherming en de voor de burger, de privésector en de openbare sector alsook voor nationale gegevensbeschermingsautoriteiten (waaronder de Privacy- de Privacycommissie zelf in haar hoedanigheid van controleautoriteit. commissie), die op regelmatige tijdstippen vergadert om de gemeenschappelijke problemen te onderzoeken die zich stellen met de De werkgroep heeft eveneens de inhoud van deze voorstellen werking van het Eurodacsysteem en om gemeenschappelijke oplos- uiteengezet aan andere instellingen die de Privacycommissie hierom singen voor te stellen. hadden verzocht. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 51 De werkgroep heeft eveneens voorstellen van amendementen opge- Ten slotte heeft de Privacycommissie, via de Groep artikel 29 die 28 steld. Deze amendementen werden doorgezonden aan de Belgische gegevensbeschermingsautoriteiten van de Europese Unie groepeert, Europarlementsleden. De werkgroep onderzocht overigens de voor- samen met de Europese Toezichthouder voor gegevensbescherming stellen van amendementen van de Commissie LIBE (leidende autori- (EDPS), haar standpunt kenbaar gemaakt (in de lijn van haar advies teit in dit dossier) van het Europees Parlement die gestemd werden in 35/2012). Omwille van coherentie met haar eigen ingenomen stand- de maand oktober 2013. De werkgroep nam zich voor een ontwerp punten heeft de Privacycommissie zich sinds 2012 onthouden bij de van advies voor te bereiden over de tekst van de Commissie LIBE en verschillende adviezen die door de Groep 29 werden geformuleerd deze begin 2014 voor te leggen aan het college van commissarissen met betrekking tot het voorstel van verordening. van de Privacycommissie. 52 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 8 Activiteiten van de Privacycommissie in cijfers 8.1 Regelgeving en normering De regelgevende teksten die in 2013 gepubliceerd zijn en waarvoor de Privacycommissie een advies uitbracht, zijn zoals de voorgaande 8.1.1Adviezen, aanbevelingen en aanbevelingen latere verwerking jaren onderworpen aan een evaluatieprocedure. In totaal zijn 22 dossiers opgestart, waarbij werd nagegaan in hoeverre het door de Privacycommissie uitgebrachte advies werd gevolgd en in welke mate Adviezen en aanbevelingen richten zich tot de bevoegde overheden de regelgeving de verwerking van persoonsgegevens beschermt. en instanties, met als doel een kader aanreiken voor de verwerking en mededeling van persoonsgegevens. Deze adviezen en aanbevelingen Om deze evaluatie op een uniforme manier te kunnen uitvoeren, werd worden verstrekt door de Privacycommissie of door een specifiek een standaardformulier ontwikkeld. Dit formulier is opgedeeld in twee opgericht sectoraal comité binnen de Privacycommissie. Aanbeve- delen. In een eerste deel wordt nagegaan in hoeverre de regelge- lingen inzake latere verwerking zijn daarentegen bedoeld voor verant- ving is aangepast ingevolge en conform het advies van de Priva- woordelijken voor de verwerking. De Privacycommissie behandelt cycommissie. Dit gebeurt aan de hand van de opmerkingen in het haar adviestaak door middel van beslissingsdossiers. In 2013 heeft advies en een evaluatie van de wijze waarop die in de besluitvorming de Privacycommissie 106 beslissingsdossiers geopend. werden omgezet. In een tweede deel wordt nagegaan in hoeverre de reglementaire tekst een stempel drukt op de privacybescherming. De adviestaak wordt voornamelijk gestuurd door adviesaanvragen Dit gebeurt door middel van een vergelijking tussen de wettekst ter (69 geopende adviesdossiers), waarvan er in totaal 67 van de wetge- advies voorgelegd aan de Privacycommissie en de gepubliceerde vende instellingen kwamen. De Privacycommissie kan echter ook op (nieuwe) wettekst. Na analyse van deze twee onderdelen wordt een eigen initiatief een advies of aanbeveling uitbrengen: zij heeft in 2013 eindbalans opgemaakt: wat is de impact van de Privacycommissie op 1 dergelijk adviesdossier geopend en 4 dergelijke aanbevelingsdos- de wetgeving en wat is de impact van de wetgeving op de privacy? siers opgestart. De evaluatie gebeurt door de jurist die het dossier in kwestie behandeld heeft, in samenspraak met de verslaggever. Vervolgens wordt Ook bij aangifte van een latere verwerking van persoonsgegevens het evaluatieformulier op zitting ter informatie aan de leden van de waarbij de verantwoordelijke voor de verwerking de informatieplicht Privacycommissie medegedeeld. die de Privacywet voorschrijft niet kan invullen, wordt een aanbeveling opgesteld. Deze aanbeveling omvat de voorwaarden en maatre- Van de 22 in 2013 geopende evaluatiedossiers werden er 21 afge- gelen die de verantwoordelijke in acht moet nemen wanneer hij de handeld. Slechts in 1 geval volgde de wetgever het advies van de gegevens verwerkt. In 2013 werden 11 dossiers in verband met een Privacycommissie helemaal niet. In 52% van de gevallen werd het aanbevelingen latere verwerking geopend. advies van de Privacycommissie volledig gevolgd en in bijna 20% van de gevallen gedeeltelijk, maar met een duidelijke positieve impact van De Privacycommissie behandelde de adviezen op aanvraag van de de Privacycommissie. Wanneer de uiteindelijk aangenomen versies wetgevende instansties (70 in totaal) in 90,8% binnen de 2 maanden. van de regelgevende teksten worden bekeken, is vast te stellen dat in 67% van de gevallen een verbetering merkbaar was. Algemeen kan 8.1.2Evaluatiedossiers dus gesteld worden dat de wetgever in de meeste gevallen rekening hield met de opmerkingen van de Privacycommissie. Eind 2008 is het secretariaat gestart met een evaluatieprocedure voor regelgevende teksten waarover door de Privacycommissie advies 8.2Handhavingsbeleid werd uitgebracht, teneinde na te gaan in hoeverre het door de Privacycommissie uitgebrachte advies werd gevolgd en in welke mate de De activiteiten die deel uitmaken van het handhavingsbeleid betreffen regelgeving de verwerking van persoonsgegevens beschermt. Het niet alleen de bevoegde overheidsinstanties, maar ook alle verant- evaluatiesysteem is van toepassing op adviezen artikel 29 (van de woordelijken voor de verwerking. Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens), Machtigingen verlenen betekent dat de Privacycommissie aan een uitgebracht naar aanleiding van een verzoek door een in deze bepa- instantie uit een bepaalde sector toelating geeft voor de verwerking of ling opgenomen instantie, omtrent een ontwerp van wet, koninklijk mededeling van persoonsgegevens. Indien voor de betrokken sector besluit, decreet, … . Adviezen uit eigen beweging worden enkel een sectoraal comité is ingesteld, wordt deze opdracht uitgevoerd opgenomen in geval deze betrekking hebben op een wetgevend initi- door dit sectoraal comité. Via het evocatierecht kan een sectoraal atief. De evaluatiemethode is niet van toepassing op beraadslagingen comité de machtigingsaanvraag echter ook steeds voorleggen aan van de sectorale comités. de Privacycommissie. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 53 Het Statistisch Toezichtscomité werd opgericht in 2007, maar was in zijn (klantgerichte antwoorden) als gericht op een doelgroep (lezing) 2013 nog niet samengesteld. Daarom werd de behandeling van de of het grote publiek (website en openbaar register). machtigingsaanvragen voor dit Comité opgestart binnen de Privacycommissie. Het Statistisch Toezichtscomité ziet toe op mededeling 8.3.1 Informatieondersteuning door het frontoffice door de Algemene Directie Statistiek - Statistics Belgium (het vroegere Algemene Directie Statistiek en Economische Informatie) van In 2013 heeft het frontoffice 2 868 “vraag-en-antwoorddossiers” gecodeerde studiegegevens aan derden, en op het gebruik van die geopend en behandeld wat gemiddeld neerkomt op 239 oproepen gegevens door deze derden. In 2013 zijn 22 individuele machtigings- per maand. aanvragen ontvangen die, samen met nog openstaande machtigingsaanvragen uit 2012, hebben geleid tot 27 machtigingen (zie ook het Het frontoffice heeft in 2013 467 vragen ontvangen over beeldver- deel over de sectorale comités). werking, waarbij het merendeel van de vragen betrekking had op het gebruik van bewakingscamera’s (14,85% van alle “vraag-en- Ten aanzien van de verantwoordelijken voor de verwerking oefent de antwoord”-dossiers). De overige veel voorkomende domeinen zijn: Privacycommissie eveneens controle- en inspectietaken uit, verstrekt privacybeginselen (8,12%), arbeid (5,47%), economie (3,35%) (met zij aanbevelingen en evalueert zij de genomen veiligheidsmaatregelen. voornamelijk vragen inzake consumentenkrediet) en overheid (2,24%). 8.2.1Controletaken 8.3.2 Aangiften in het openbaar register In 2013 heeft de Privacycommissie op twee niveaus controles uitge- Vooraleer de verantwoordelijke voor de verwerking een gedeelte- voerd. Het eerste niveau betreft controles op de verwerkingen die lijke of volledig geautomatiseerde verwerking verricht, moet hij deze verricht worden in het kader van enerzijds de informatiesystemen verwerking bij de Privacycommissie melden. Schengen, Eurodac en de douane, en anderzijds de activiteiten van Europol. Het tweede niveau betreft door de Privacycommissie zelf De verantwoordelijken voor de verwerking hebben in 2013 6 047 geïnitieerde controles. Deze controles zijn in te delen in drie types: aangiftedossiers ingediend via het e-loket, dit betekent een daling permanente controles bij Child Focus en het Informatie- en Advies- met 18% ten opzichte van het aantal aangiftedossiers ingediend in centrum inzake schadelijke sektarische organisaties, thematische 2012. controles bij de politie- en inlichtingendiensten waaronder dossiers inzake onrechtstreekse toegang (onder artikel 13 van de Privacywet) Er zijn 5 252 nieuwe gegevensverwerkingen gemeld met de volgende vallen en punctuele controles, die steeds gericht zijn op een speci- aangifteformulieren: fieke verantwoordelijke voor de verwerking. In totaal zijn 211 controledossiers opgestart. 8.2.2Kennisgeving gebruik mobiele camera door politiediensten •• een gewone aangifte (23%); •• een VIA/DPR-aangifte (3 %); •• een aangifte voor een latere verwerking (1%); •• een thematische aangifte voor plaatsing en gebruik van een bewakingscamera (73%). Wanneer een officier van bestuurlijke politie beslist om mobiele camera’s te gebruiken, dan moet die sinds december 2009 de Privacy- Wijzigingen en beëindigingen van gegevensverwerkingen worden commissie hiervan in kennis stellen aan de hand van een specifiek eveneens gemeld. In 2013 zijn 436 meldingen van wijzigingen/correc- elektronisch formulier. In 2013 heeft de Privacycommissie 85 kennis- ties aan bestaande gegevensverwerkingen geregistreerd, en 359 gevingen ontvangen. De politiediensten zette vooral mobiele came- meldingen van beëindigingen. ra’s in tijdens 53 sportmanifestaties, veelal voetbalwedstrijden. 8.3Informatie, klachtafhandeling en bijstand in uitoefening rechten en plichten De voornaamste doeleinden van de gemelde gegevensverwerkingen zijn: 3150 keer “bewaking en toezicht”, aangevuld met 635 keer “bewaking en toezicht ten overstaan van tewerkgestelden op een bewaakte arbeidsplaats”, 496 keer “algemene doeleinden”, 100 keer “handel” en 539 keer “andere doeleinden”. De informatieopdracht van de Privacycommissie vormt een derde pijler, die zich zowel tot overheidsinstanties richt als tot verantwoor- 8.3.3Kerndossiers delijken voor de verwerking en datasubjecten (de personen wier gegevens het voorwerp uitmaken van een verwerking). De voor- De kerndossiers omvatten naast informatiedossiers ook controle- en naamste informatietaken zijn het openbaar register houden en het bemiddelingsdossiers. publiek informeren. De informatietaak kan zowel individueel gericht 54 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 De Privacycommissie heeft in 2013 3532 vragen om informatie of Van de 2896 vragen om informatie of bemiddeling in 2013 werd in bemiddeling (inclusief controledossiers) ontvangen. Deze dossiers 58,52% van de gevallen deze vraag in het Nederlands gesteld. In kunnen als volgt ingedeeld worden: 2 871 informatievragen van zowel 39,01% werd de vraag in het Frans gesteld. overheidsinstanties en huidige of toekomstige dataverwerkers als datasubjecten, 450 vragen om bemiddeling en 211 controledossiers. Begin januari 2013 kwam een gegevenslek bij de NMBS aan het licht. Dit gegevenslek gaf aanleiding tot een vloedgolf van vragen en Van de 3 532 ontvangen kerndossiers zijn er 11 voorgelegd ter klachten. De vragen om informatie, 2 304 in totaal, werden in 1 infor- bespreking aan het Sectoraal comité van het Rijksregister, 7 dossiers matiedossier behandeld. De Privacycommissie ontving daarnaast ook kwamen op zitting van de Privacycommissie. 44 klachten in verband met dit gegevenslek. Vóór de Privacycommissie overgaat tot bemiddeling of informatie- 8.3.4Klachten verstrekking, wordt steeds een ontvankelijkheidsanalyse uitgevoerd. Voor 222 dossiers bleek de aanvraag tot bemiddeling of informatie De Privacycommissie heeft 450 klachten ontvangen in 2013. Dit is onontvankelijk, veelal wegens het ontbreken van voldoende infor- een stijging met 48,5% ten opzichte van het aantal klachten in 2012 matie vanwege het datasubject (214 dossiers). (303). 192 vragen, of 5,4%, werden verkeerdelijk aan de Privacycommissie De klachten betroffen voornamelijk volgende domeinen: gericht, waarbij steeds is getracht om de aanvrager door te verwijzen naar de bevoegde instelling. In circa 78% van de gevallen is de Priva- •• cycommissie hierin geslaagd. privacybeginselen (27,6%): worden er niet te veel gegevens verwerkt om een bepaald doeleinde te verwezenlijken? (proportionaliteit); worden de gegevens gebruikt voor een ander dan het oorspronkelijk In 84% van de behandelde informatievragen is privacygerelateerde vooropgestelde doeleinde (finaliteit)?; heeft de betrokken persoon informatie verstrekt. voldoende informatie gekregen over de verwerking van zijn gegevens (transparantie), enz.; De top vijf van de meest bevraagde thema’s is: de privacybeginselen •• registratie van wanbetalers bij de Centrale voor Kredieten aan (21,04%), verwerking van beelden (18,74%) waarbij “camerabewa- Particulieren van de Nationale Bank (ook wel “negatief luik krediet” king” een belangrijk item vormt, “openbare overheden en privacy” genoemd) (13,6%): wie een hypothecaire lening niet afbetaalt zoals (8,92%), handelspraktijken, waarbij voornamelijk marketingtoepas- het hoort, komt in dit bestand terecht. De Privacycommissie behan- singen bevraagd zijn (8,89%) en arbeid (8,52%). delt vragen van particulieren die in het bestand geregistreerd staan, wat soms ten onrechte zo is: een bank zou bijvoorbeeld kunnen In 90% van de in 2013 afgesloten dossiers zijn behandeld binnen een vergeten door te geven dat de betaalachterstand intussen veref- termijn van 3 maanden. fend is; •• De Privacycommissie kreeg voornamelijk verzoeken inzake verwer- met zijn bewakingscamera? Ik word gefilmd in het zwembad, kan kingen van identificatiegegevens (44,22% van de dossiers), beeld- en geluidsopnamen (22,17%), financiële bijzonderheden (8,92%), elek- bewakingscamera’s (12,4%): mag mijn buur mijn eigendom filmen dit?, enz.; •• tronische identificatiegegevens (8,55%) en gerechtelijke en geheime direct marketing (5,1%): mag een bedrijf mijn gegevens gebruiken voor commerciële doeleinden? De uitschrijflink onderaan een recla- gegevens (7,28%). memail werkt niet, enz.; •• internet (4,0%): blogs, sociale netwerken, datingsites, … Om een antwoord te kunnen bieden op de gestelde vraag is steeds vertrokken van een wetgevend kader. De Privacywet was veelal de 346 (76,9%) klachten werden reeds in 2013 afgehandeld. Volgende basis voor het antwoord, met als meest gebruikte artikelen: artikelen cijfers hebben betrekking op deze afgesloten dossiers. In 72,6% 9-10-12 over de rechten van het datasubject (24,15%), artikel 4 over van de dossiers met betrekking tot een klacht werd een privacyin- de rechtmatigheid van een verwerking (20,47%) en artikel 5 over de breuk vastgesteld, 17,3% betrof ongegronde klachten. 4,1% van voorwaarden van een verwerking (15,86%). Naast de Privacywet was de klachten bleek onontvankelijk, in 2,0% van de gevallen werd de de camerawetgeving in 14,35% van de dossiers het richtinggevend klachtbehandeling stopgezet. In 3,5% van de gevallen werd de klacht wettelijk kader. verkeerdelijk tot de Privacycommissie gericht. De vragen worden meestal gesteld vanuit een handhavings- (20,58%), De Privacycommissie heeft ook 117 indirecte controles verricht. een profit- (19,27%) of een arbeidsrelatie (11,88%) tussen de verant- 98,3% van deze dossiers heeft betrekking op het domein politie. woordelijke van de verwerking en het datasubject. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 55 8.4 Beslissingsdossiers Privacycommissie 2013 in cijfers 8.4.1 Globale analyse beslissingsdossiers Privacyommissie 2013 Trimester A-dossier IN A-dossier OUT % afgesloten A-dossier open A-dossier <2013 OUT A-dossier totaal OUT 01.2013 - 03.2013 15 15 100,00 0 1 16 04.2013 - 06.2013 16 16 100,00 0 6 22 07.2013 - 09.2013 20 18 90,00 2 0 18 10.2013 - 12.2013 18 13 72,22 5 2 15 globaal 69 62 89,86 7 9 71 Trimester AR-dossier IN AR-dossier OUT % afgesloten AR-dossier open AR-dossier <2013 OUT AR-dossier totaal OUT 01.2013 - 03.2013 2 2 100,00 0 0 2 04.2013 - 06.2013 2 1 50,00 1 1 2 07.2013 - 09.2013 0 0 nvt 0 1 1 10.2013 - 12.2013 0 0 nvt 0 2 2 globaal 4 3 75,00 1 4 7 Trimester EVAL-dossier IN EVAL-dossier OUT % afgesloten EVAL-dossier open EVAL-dossier <2013 OUT EVAL-dossier totaal OUT 01.2013 - 03.2013 4 4 100,00 0 4 8 04.2013 - 06.2013 0 0 nvt 0 2 2 07.2013 - 09.2013 15 15 100,00 0 0 15 10.2013 - 12.2013 3 2 66,67 1 0 2 globaal 22 21 95,45 1 6 27 Trimester LV-dossier IN LV-dossier OUT % afgesloten LV-dossier open LV-dossier <2013 OUT LV-dossier totaal OUT 01.2013 - 03.2013 3 3 100,00 0 0 3 04.2013 - 06.2013 2 2 100,00 0 0 2 07.2013 - 09.2013 5 5 100,00 0 0 5 10.2013 - 12.2013 1 1 100,00 0 0 1 globaal 11 11 100,00 0 0 11 56 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 CO NL Beslissingsdossiers 2013 per type 80 70 69 71 62 Aantal 60 50 40 20 7 10 0 27 22 21 30 4 A-dossier 3 1 11 11 7 1 AR-dossier CO-IN CO-OUT 11 0 EVAL-dossier CO-OPEN LV-dossier Totaal CO-OUT 8.4.2 Analyse per type geopende adviesdossiers 2013 Trimester Op aanvraag Op eigen initiatief Formele klacht Totaal 01.2013 - 03.2013 14 0 1 15 04.2013 - 06.2013 16 0 0 16 07.2013 - 09.2013 19 1 0 20 10.2013 - 12.2013 18 0 0 18 globaal 67 1 1 69 8.4.3 Behandelingstermijn termijngebonden beslissingsdossiers 2013 8.4.3.1 Adviesdossiers op aanvraag Behandelingstermijn Afgesloten dossiers* (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) ≤ 2 mnd 59 90,8 6 100,00 > 2 mnd 6 9,2 0 0,00 behandeling stopgezet/ onontvankelijk 5 nvt nvt nvt globaal 70 100,00 6 100,00 Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 57 8.4.3.2 Adviesdossiers formele klacht Behandelingstermijn Afgesloten dossiers* (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) ≤ 3 mnd 1 100,00 0 nvt > 3 mnd 0 0,00 0 nvt behandeling stopgezet/ onontvankelijk 0 nvt nvt nvt globaal 1 100,00 0 nvt Afgesloten dossiers* (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) 8.4.3.3LV-dossiers Behandelingstermijn ≤ 45 d 11 100,00 0 nvt > 45 d 0 0,00 0 nvt behandeling stopgezet/ onontvankelijk 0 nvt nvt nvt globaal 0 0 nvt 0 8.4.3.4 Adviesdossiers op eigen initiatief Voor deze dossiers is er, net als voor aanbevelingdossiers, geen behandelingstermijn bepaald. Er werd in 2013 1 adviesdossier op eigen initiatief geopend. Dit dossier is nog steeds in behandeling. 8.4.4 Gevolg verleend aan de afgesloten beslissingsdossiers 2013 Dossiertype A-dossiers Gevolg Aantal % / dossiertype gunstig 15 21,13 gunstig met voorwaarden 39 54,93 ongunstig 6 8,45 gedeeltelijk gunstig 4 5,63 standpunt geformuleerd 2 2,82 behandeling stopgezet 5 7,04 standpunt geformuleerd 3 42,86 behandeling stopgezet 4 57,14 EVAL-dossiers standpunt geformuleerd 27 100,00 LV-dossiers gunstig 8 72,73 gunstig met voorwaarden 3 27,27 AR-dossiers 58 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 8.5 Kerndossiers Privacycommissie 2013 in cijfers 8.5.1 Globale analyse kerndossiers Privacycommissie 2013 Trimester DOS-dossier IN DOS-dossier OUT % afgesloten DOS-dossier open 01.2013 - 03.2013 994 928 93,36 66 informatie 761 721 94,74 40 bemiddeling 178 160 89,89 18 controle 55 47 85,45 8 04.2013 - 06.2013 846 779 92,08 67 informatie 679 643 94,70 36 bemiddeling 114 91 79,82 23 controle 53 45 84,91 8 07.2013 - 09.2013 798 718 89,97 80 informatie 669 615 91,93 54 bemiddeling 88 72 81,82 16 controle 41 31 75,61 10 10.2013 - 12.2013 894 603 67,45 291 informatie 762 572 75,07 190 bemiddeling 70 23 32,86 47 controle 62 8 12,90 54 globaal 3.532 3.028 85,73 504 informatie 2.871 2.551 88,85 320 bemiddeling 450 346 76,89 104 controle 211 131 62,09 80 Kerndossiers zijn vragen of klachten over de toepassing van de privacywetgeving waarbij de Privacycommissie een standpunt inneemt. Ze worden onderverdeeld in drie categorieën: * informatiedossiers: dossiers waarin een vraag wordt beantwoord zonder contactname met derde partijen; * bemiddlingsdossiers: klachtendossiers; * controledossiers: dossiers waarin de Privacycommissie een controle of inspectie uitvoert. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 59 DOS NL Aantal Kerndossiers Privacycommissie 2013 per type 3532 4000 3500 3000 2500 2000 1500 1000 500 0 3028 2871 504 globaal 2551 informatie DOS-dossier IN 450 346 320 211 131 80 104 bemiddeling DOS-dossier OUT controle DOS-dossier open 8.5.2 Behandelingstermijn kerndossiers Privacycommissie 2013 Top 5 meest voorkomende domeinen Behandelingstermijn Afgesloten dossiers aantal ≤ 30 d 31-60 d 61-90 d 314 ≤ 3 mnd 301 91-180 d 315 662 Dossiers in behandeling % aantal 2.150 71,00 87 17,26 387 12,78 101 20,04 187 6,18 92 18,25 89,96 280 55,56 7,30 84 16,67 2.724 221 1197 Overige 181-270 d 60 1,98 Privacybeginselen 70 13,89 271-365 d 23 0,76 70 > 3 mnd 304 10,04 224 3.028 100,00 totaal 13,89 Beeldverwerking Overheid 504 743 Privacycommissie 2013 8.5.3 Gevolg verleend aan de afgesloten kerndossiers Gevolg informatiedossiers informatie verstrekt dossier onontvankelijk Aantal rechten niet uitgeoefend Privacycommissie onbevoegd Arbeid 7,02 6,94 0 0,00 2 geen doorverwijzing 60 Handelspraktijken 177 179 doorverwijzing 40 100,00 84,40 179 gerechtelijke procedure 44,44 Percentage 2.153 niet vereiste informatie behandeling stopgezet % 0,08 7,02 139 5,45 40 1,57 1,57 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Gevolg bemiddelingsdossiers geen privacyinbreuk Aantal Percentage 60 geen registratie 17,34 1 0,29 geen privacyinbreuk 42 12,14 behoud registratie 17 4,91 privacyinbreuk 253 gehele schrapping registratie 72,55 30 8,67 gedeeltelijke schrapping registratie 0 0,00 correctie registratie 4 1,16 minnelijke schikking 217 62,72 2 0,58 geen minnelijke schikking dossier onontvankelijk 14 4,05 niet vereiste informatie 14 4,05 gerechtelijke procedure 0 0,00 rechten niet uitgeoefend Privacycommissie onbevoegd 0 12 doorverwijzing 0,00 3,47 10 geen doorverwijzing behandeling stopgezet 2 7 Gevolg controledossiers 1 geen privacyinbreuk 41 geen registratie geen privacyinbreuk behoud registratie 0,58 2,02 Aantal informatie verstrekt privacyinbreuk 2,89 Percentage 0,76 31,30 21 16,03 2 1,53 18 58 13,74 43,51 gehele schrapping registratie 38 29,01 gedeeltelijke schrapping registratie 14 10,69 correctie registratie 1 0,76 minnelijke schikking 4 3,05 geen minnelijke schikking 1 0,76 dossier onontvankelijk 29 22,14 niet vereiste informatie 23 17,56 gerechtelijke procedure 0 0,00 rechten niet uitgeoefend 6 4,58 Privacycommissie onbevoegd 1 doorverwijzing geen doorverwijzing behandeling stopgezet Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 0,76 1 0,76 0 1 0,00 0,76 61 8.5.4 Inhoudelijke analyse van de ontvangen kerndossiers Privacycommissie 2013 Karakteristieken kerndossiers Aantal % Nederlands 2.067 58,52 Frans 1.378 39,01 Engels 77 2,18 Duits 10 0,28 Taal Behandelingsniveau Commissie 7 0,20 3.514 99,49 frontoffice 2.987 84,57 backoffice 527 14,92 11 0,31 1 0,03 10 0,28 intern 2.952 83,58 extern 580 16,42 Secretariaat Commissie Sectoraal Comité voor de Federale Overheid van het Rijksregister Activiteit Gemiddeld aantal inkomende en uitgaande dossierstukken 3,54 8.5.4.1 Domeinen en subdomeinen van de kerndossiers Domein - Subdomein Aantal % (in domein) 244 6,91 algemeen 36 1,02 14,75 bloggen - sociale netwerken 52 1,47 21,31 cookies 4 0,11 1,64 Telecommunicatie digitale tv 1 0,03 0,41 114 3,23 46,72 nieuwe technologieën 8 0,23 3,28 zoekmotoren 29 0,82 11,89 315 8,92 algemeen 31 0,88 9,84 bevolkingsregisters 43 1,22 13,65 DIV 11 0,31 3,49 e-gov 8 0,23 2,54 eID 42 1,19 13,33 fiscus 7 0,20 2,22 identificatiemiddelen 12 0,34 3,81 machtigingen 40 1,13 12,70 opdracht gerechtelijke of bestuurlijke politie 1 0,03 0,32 openbaarheid van bestuur 5 0,14 1,59 regionale en lokale besturen 31 0,88 9,84 internet Overheid 62 % (globaal) Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 Domein - Subdomein Aantal % (globaal) % (in domein) Rijksregister 82 2,32 26,03 Visa 2 0,06 0,63 13 0,37 algemeen 1 0,03 7,69 justitie 8 0,23 61,54 parket 2 0,06 15,38 rechtspraak 2 0,06 15,38 231 6,54 algemeen 2 0,06 0,87 Comité P & I 1 0,03 0,43 Justitie Politie-inlichtingen inlichtingendiensten politie strafregister terrorismebestrijding 5 0,14 2,16 217 6,14 93,94 5 0,14 2,16 1 0,03 0,43 Onderwijs 32 0,91 100,00 Arbeid 301 8,52 algemeen 4 0,11 1,33 cameratoezicht 7 0,20 2,33 gegevens werknemers 138 3,91 45,85 geolocalisatie 58 1,64 19,27 identificatiemiddelen 22 0,62 7,31 rekrutering 15 0,42 4,98 telecommunicatie 40 1,13 13,29 vakbonden 1 0,03 0,33 welzijn op het werk 4 0,11 1,33 whistleblowing 12 0,34 3,99 Sociale zekerheid 8 0,23 100,00 Mede-eigendom 17 0,48 9 0,25 52,94 47,06 mede-eigendom syndicus 8 0,23 59 1,67 algemeen 19 0,54 beroepsgeheim 4 0,11 6,78 databanken 6 0,17 10,17 eHealth 1 0,03 1,69 machtiging 6 0,17 10,17 patiëntendossier 23 0,65 38,98 662 18,74 5 0,14 0,76 503 14,24 75,98 Google Street View 12 0,34 1,81 recht op afbeelding 139 3,94 21,00 3 0,08 0,45 Verwerking van gezondheidsgegevens Beeldverwerking algemeen bewakingscamera's webcasting Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 32,20 63 Domein - Subdomein Aantal % (in domein) 22 0,62 algemeen 2 0,06 archivering 1 0,03 4,55 audiovisuele pers 3 0,08 13,64 elektronische pers 13 0,37 59,09 13,64 Pers en media gedrukte pers 9,09 3 0,08 261 7,39 algemeen 7 0,2 2,68 bank / verzekeringen 49 1,39 18,77 bescherming consumenten 2 0,06 0,77 compliance 1 0,03 0,38 faillissementen 2 0,06 0,77 financiën 4 0,11 1,53 Economie gerechterlijk akkoord 3 0,08 1,15 negatief luik krediet 175 4,95 67,05 positief luik krediet 18 0,51 6,90 314 8,89 4 0,11 1,27 Handelspraktijken algemeen direct marketing 159 4,50 50,64 getrouwheidskaart 2 0,06 0,64 handel in persoonsgegevens 8 0,23 2,55 identificatiemiddelen 18 0,51 5,73 marketing 39 1,10 12,42 personenlijsten 50 1,42 15,92 phishing 2 0,06 0,64 politieke propaganda 9 0,25 2,87 spam 23 0,65 7,32 23 0,65 algemeen 22 0,62 95,65 privacy by design 1 0,03 4,35 29 0,82 algemeen 1 0,03 3,45 genealogie 1 0,03 3,45 historisch onderzoek 2 0,06 6,90 statistieken 7 0,20 24,14 wetenschappelijk onderzoek 18 0,51 62,07 4 0,11 3 0,08 75,00 25,00 Informatiebeveiliging Historisch, statistisch en wetenschappelijk onderzoek Archieven overheidsarchieven privé-archieven 1 0,03 131 3,71 algemeen 4 0,11 3,05 BCR 15 0,42 11,45 Internationale fluxen 64 % (globaal) Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 Aantal 3028 3500 3000 2500 2000 1500 1000 500 0 2871 2551 504 deel 1 450 346 320 Domein - Subdomein globaal contractuele clauses safe harbourinformatie Internationale gegevensbescherming DOS-dossier IN Privacybeginselen Aantal 104 211 131 80 % (globaal) 111 3,14 bemiddeling 1 DOS-dossier OUT controle 0,03 84,73 0,76 13 0,37 100,00 743 21,04 100,00 110 3,11 100,00 DOS-dossier open Andere of niet bepaald % (in domein) Top 5 meest voorkomende domeinen 314 301 1197 315 Overige Privacybeginselen Beeldverwerking Overheid 662 Handelspraktijken 743 Arbeid Top 5 meest voorkomende subdomeinen 175 159 139 217 Overige Bewakingscamera's 503 2339 Politie Negatief luik krediet Direct marketing Recht op afbeelding Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 65 8.5.4.2 Gegevenstype behandeld in de kerndossiers (top 5) Gegevenstype Aantal Identificatiegegevens % / # dossiers % / # types 1.562 44,22 40,33 Beeld- en geluidsopnamen 783 22,17 20,22 Financiële bijzonderheden 315 8,92 8,13 Elektronische identificatiegegevens 302 8,55 7,80 Gerechtelijke en geheime gegevens 257 7,28 6,64 8.5.4.3 Behandelde wetgeving in de kerndossiers (top 5) Wetgeving Aantal Privacywet artikel 9-10-12 (rechten datasubject) % / # dossiers 853 % / # types 24,15 18,26 Privacywet artikel 4 (rechtmatigheid verwerking) 723 20,47 15,48 Privacywet artikel 5 (voorwaarden verwerking) 560 15,86 11,99 Camerawetgeving 507 14,35 10,85 Andere privacywetgeving 210 5,95 4,50 8.5.4.4 Relatie verantwoordelijke voor de verwerking & datasubject (top 5) Verwerkingsrelatie Aantal % Profit relatie 789 22,34 Handhavingsrelatie 694 19,65 Arbeidsrelatie 434 12,29 Overheidsrelatie 341 9,65 Non-profit relatie 332 9,40 8.6 Vraag en Antwoord dossiers Privacycommissie 2013 in cijfers 8.6.1 Globale analyse Q&A-dossiers Privacycommissie 2013 Trimester Dossier IN Dossier OUT % afgesloten Dossier OPEN 01.2013 - 03.2013 480 480 100,00% 0 04.2013 - 06.2013 802 802 100,00% 0 07.2013 - 09.2013 728 728 100,00% 0 10.2013 - 12.2013 858 858 100,00% 0 globaal 2868 2868 100,00% 0 De Commissie behandelde in 2013 naast de voormelde 2868 vraag en antwoorddossiers ook 98 persdossiers. 66 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 8.6.2 Inhoudelijke analyse van de ontvangen Front Office-dossiers (FO-dossiers) 2013 8.6.2.1 Domeinen en subdomeinen van de FO-dossiers (top 5) Domein - Subdomein Beeldverwerking algemeen bewakingscamera's Google Street View recht op afbeelding Aantal 467 % (globaal) % (in domein) 16,28 10 0,35 2,14 426 14,85 91,22 1 0,03 0,21 6,42 30 1,05 Privacybeginselen 233 8,12 Arbeid 157 5,47 4 0,14 2,55 35 1,22 22,29 gegevens werknemers 35 1,22 22,29 geolocalisatie 33 1,15 21,02 8 0,28 5,10 rekrutering 10 0,35 6,37 telecommunicatie 18 0,63 11,46 8,92 algemeen cameratoezicht identificatiemiddelen whistleblowing 14 0,49 96 3,35 11 0,04 11,46 bescherming consumenten 1 0,03 1,04 financiën 1 0,03 1,04 negatief luik krediet 79 2,75 82,29 positief luik krediet 3 0,10 3,13 witwaswet 1 0,03 1,04 Economie bank/verzekeringen Overheid 64 2,24 algemeen 6 0,21 9,38 bevolkingsregisters 7 0,24 10,94 DIV 3 0,10 4,69 eID 6 0,21 9,38 identificatiemiddelen 1 0,03 1,56 15 0,52 23,44 1 0,03 1,56 5 0,17 7,81 20 0,70 31,25 machtigingen openbaarheid van bestuur regionale en lokale besturen Rijksregister Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 67 8.6.2.2 Behandelde wetgeving door de FO-dossiers (top 5) Wetgeving Aantal % / # dossiers Camerawetgeving 525 18,31 Privacywet artikel 17-18-19-20 (aangifte) 405 14,12 Privacywet artikel 9-10-12 (rechten datasubject) 164 5,72 Kredietwetgeving 105 3,66 90 4,82 Privacywet artikel 4 (rechtmatigheid verwerking) 8.6.2.3 Relatie verantwoordelijke voor de verwerking & datasubject (top 5) Verwerkingsrelatie Aantal % / # dossiers Handhavingsrelatie 631 22,00 Profit relatie 179 6,24 Arbeidsrelatie 175 6,10 Overheidsrelatie 80 2,79 Niet gekend 64 2,23 68 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 8.7 Aangifte- en kennisgevingsdossiers 2013 in cijfers 8.7.1 Globale analyse aangiftes en verwerkingen Nieuwe verwerkingen Wijziging van verwerking Correctie van verwerking Beëindiging van verwerking Totaal aantal verwerkingen 01.2013- 03.2013 1 352 93 11 70 1 526 04.2013 - 06.2013 1 213 42 8 41 1 304 07.2013 - 09.2013 1 537 117 20 79 1 753 10.2013 - 12.2013 1 150 95 50 169 1 464 5 252 347 89 359 6047 Nieuwe verwerkingen Gewone aangifte VIA/DPR-aangifte Aangifte latere verwerking Thematische aangifte 01.2013- 03.2013 1 352 403 53 6 04.2013 - 06.2013 1 213 292 19 10 892 07.2013 - 09.2013 1 537 279 44 11 1 203 10.2013 - 12.2013 1 150 263 50 7 830 5 252 1 237 166 34 3815 Trimester globaal 8.7.2 Meldingen van nieuwe gegevensverwerkingen Trimester globaal 890 Gewone aangifte: melding van een verwerking van persoonsgegevens (bijvoorbeeld het aanleggen van een klantenbestand voor commerciële doeleinden). VIA/DPR-aangifte: een gestandaardiseerde aangifte voor een grote groep verantwoordelijke voor de verwerking. eloket NL Aangifte latere verwerking: melding van het hergebruik van persoonsgegevens voor wetenschappelijk onderzoek. Thematische aangifte: meldingen van het gebruik van bewakingscamera's. Nieuwe gegevensverwerkingen per aangiftetype 23% 3% 1% Gewone aangifte VIA/DPR-aangifte Aangifte latere verwerking 73% Thematische aangifte Voornaamste doeleinden voor Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 69 8.7.3 Verwerkingen per doeleinde Doeleinde eloket NL Algemene doeleinden Aantal aangiften 496 Doeleinden van de overheid 19 Bewaking en toezicht op de arbeidsplaats 635 Nieuwe gegevensverwerkingen per aangiftetype Justitie en politie Bewaking en toezicht Onderwijs 46 3 150 3 Cultuur en welzijn 15 Sociale zekerheid 1 Gezondheidszorg 40 Primair of secundair wetenschappelijk onderzoek 23% 89 Bank- en kredietwezen, verzekeringen 3% Handel 1% Latere verwerking Andere doelen Gewone aangifte VIA/DPR-aangifte 45 100 34 539 Aangifte latere verwerking 73% Thematische aangifte Voornaamste doeleinden voor gegevensverwerking (top 5) Bewaking en toezicht 10% 2% 6% Bewaking en toezicht op de arbeidsplaats 10% 12% 60% Andere doelen Algemene doeleinden Handel Overige 70 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 1 8.7.4 Kennisgeving gebruik mobiele camera door de politiediensten Trimester Globaal Sportmanifestatie Betoging Evenement Feestelijkheden Culturele manifestaties Oproer Andere 01.2013- 03.2013 15 12 2 1 0 0 0 04.2013 - 06.2013 25 10 3 6 1 2 3 07.2013 - 09.2013 26 17 1 8 0 0 0 10.2013 - 12.2013 19 14 3 2 0 0 0 Globaal 85 53 9 17 1 2 3 Volgens de camerawet mogen de politiediensten mobiele bewakingscamera’s inzetten bij grote volkstoelopen. Het gebruik van deze camera’s moeten ze melden bij de Privacycommissie. Kennisgeving mobiele camera politiediensten 30 26 25 Aantal 25 19 20 15 15 10 5 0 01.2013- 03.2013 04.2013 - 06.2013 07.2013 - 09.2013 10.2013 - 12.2013 Identificatie volkstoeloop Sportmanifestatie 1% 2% 4% Betoging 20% 11% 62% Evenement Feestelijkheden Culturele manifestaties Oproer Andere Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 71 Deel 2 De sectorale comités deel 2 1 De sectorale comités in een notendop De Privacycommissie telt momenteel zes sectorale comités. Deze comités zijn bevoegd voor gegevensverwerkingen die worden uitgevoerd in specifieke sectoren. Ze bestaan over het algemeen voor de helft uit leden van de Privacycommissie en voor de andere helft uit deskundigen vertrouwd met de sector. Meer informatie over de sectorale comités is beschikbaar op de website http://www.privacycommission.be/nl in de rubriek “Over CBPL > Overzicht van de sectorale comités”. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 75 2 Belangrijkste activiteiten van de sectorale comités De voornaamste documenten gepubliceerd door de sectorale comités in 2013 zijn hieronder per comité bij elkaar gezet. 2.1 Privacycommissie loco Statistisch Toezichtscomité statistische doeleinden werden toegekend aan ondernemingen. Een waarschuwing zal erop wijzen dat deze informatie enkel voor statistische doeleinden mag gebruikt worden en dat een onderneming die 2.1.1 Beraadslaging STAT nr. 27/2013 van 6 november 2013 • Openbaarmaking van de NACE-codes door de Algemene Directie voor Statistiek en Economische Informatie (ADSEI) Op 6 november 2013 heeft de Privacycommissie beslist dat de codes de code die haar werd toegekend betwist haar standpunt kan verdedigen bij het INR. 2.2 Sectoraal comité van het Rijksregister 2.2.1 Overzicht principebeslissingen van bedrijfsactiviteit (NACE) geen persoonsgegevens vormen, en dat deze codes niet opgevat zijn als vertrouwelijke gegevens die onder- Op verzoek van mevr. Mireille Salmon, voorzitter van het Sectoraal worpen zijn aan de statistische geheimhouding. comité van het Rijksregister, werd een overzicht van de principes opgemaakt die worden toegepast door dit comité in zijn beslissingen. De Privacycommissie, loco het Sectoraal comité statistiek, heeft het Het overzicht beoogt een praktisch intern werkdocument aan te ADSEI gemachtigd om de codes van bedrijfsactiviteit (NACE) die reiken bij de behandeling van machtigingsaanvragen bij het Secto- werden toegekend aan de ondernemingen, openbaar te maken. raal comité van het Rijksregister, waarbij niet alleen coherentie tussen de beraadslagingen verleend door dit comité voorop staat, maar ook De NACE-code bestaat uit 5 cijfers die de Europese Unie en haar maximale overeenstemming met de beslissingen van de Privacycom- lidstaten toekennen aan economische activiteiten. De eerste vier missie wordt nagestreefd. cijfers worden bepaald door de Europese Unie en gelden voor alle lidstaten. Met het vijfde cijfer beschikken de lidstaten over een speel- Bij de opmaak van dit overzicht werden alle beraadslagingen van ruimte om zelf de classificatie van de activiteiten te specificeren, reke- het comité in beschouwing genomen sinds de oprichting ervan op 1 ning houdend met de nationale en sectorale realiteit. De Belgische januari 2004 tot 14 juni 2013. variante van de NACE-code wordt eveneens aangeduid als “NACEBEL”. Het geheel van principebeslissingen moet beschouwd worden als een solide basis om nieuwe beraadslagingen uit te werken met het oog op Teneinde de coherentie van de statistieken per bedrijfstak te verze- eenvormigheid in de beslissingen van het comité. Het spreekt evenwel keren is het essentieel dat de verschillende producenten van offi- voor zich dat het door de omvang van de reeds uitgebrachte beraad- ciële statistieken eenzelfde code van bedrijfsactiviteit (NACE-code) slagingen onmogelijk is volledigheid na te streven bij de inventarisatie gebruiken voor een bepaalde statistische eenheid. van de principiële beslissingen van het comité. Dit impliceert dat dit document permanent zal moeten worden bijgewerkt als zou worden Daarom plegen de overheden, verenigd in het Instituut voor de Nati- vastgesteld dat uit de huidige beraadslagingen nog bijkomende prin- onale Rekeningen (INR), overleg om de codes van de bedrijfsacti- cipes kunnen worden afgeleid, of als het comité nieuwe beslissingen viteiten te harmoniseren en de in de bedrijfsregisters beschikbare neemt in de toekomst. Door de bijzonder actieve werking van het informatie uit te wisselen die zij gebruiken voor het opstellen van hun comité zal het document frequent moeten worden bijgewerkt en werd respectievelijke statistieken. ervoor geopteerd om het als louter intern werkdocument te hanteren. Een harmonisering zal de facto een vereenvoudiging meebrengen in de kwaliteit van de repertoria en in fine van de precisie van de officiële Een aantal voorbeelden Het comité verleent geregeld machtigingen om een steekproef uit het Rijksregister te krijgen met het oog op wetenschappelijk of beleidsre- openbare statistieken. levant onderzoek. Om een zicht te hebben op het gebruik van deze het dagelijks beheer van de uitwisselingen alsook een verbetering van machtigingen wil het comité voortaan ter informatie een exemplaar Het zou er met andere woorden op neerkomen om, bijvoorbeeld van het onderzoeksrapport ontvangen van de gemachtigde, nadat via de toepassing “KBO public search” van de Kruispuntbank van het onderzoek is afgerond (beraadslaging RR nr. 46/2013). Ondernemingen, deze NACE-codes te mogen publiceren die voor 76 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 In de context van een machtigingsaanvraag wordt geregeld verzocht Voor het overige gaf het comité geen gevolg aan de aanvraag voor om een geautomatiseerde mededeling van de wijzigingen. Opdat de toegang tot het gegeven “wettelijke samenwoning” aangezien ener- mededeling van deze wijzigingen proportioneel zou verlopen, moet zijds de wettelijke gelijkstelling tussen gehuwden en samenwonenden, mededeling beperkt zijn tot de personen voor wie de gemachtigde die de aanvrager inriep om zijn aanvraag te staven, geen algemene over een actief dossier beschikt, wat vereist dat de gemachtigde draagwijdte heeft, enkel een fiscale; Anderzijds werd er geen enkele met verwijzingsrepertoria werkt. Als dit niet mogelijk is, is het aanbe- wettelijke bepaling ingeroepen die in de sector van de aanvrager een volen dat de gemachtigde een beroep doet op de diensten van een dergelijke gelijkstelling bekrachtigt. dienstenintegrator om deze proportionele mededeling te organiseren (beraadslaging RR nr. 53/2013). 2.2.3 Beraadslaging RR nr. 38/2013 van 8 mei 2013 De ICT-dienst van de FOD Justitie wilde gemachtigd worden om • Koninklijke Federatie van het Belgisch Notariaat (KFBN); toegang te krijgen tot alle gegevens van het Rijksregister en het wacht- • Vermelding rijksregisternummer in akten. register om toepassingen te testen, controleren en onderhouden. Het comité weigerde echter een machtiging te verlenen. Aangezien de De KFBN vroeg het comité om de notarissen te machtigen om bij het FOD Justitie een beroep doet op de diensten van Fedict, de federale verlijden van een akte het identificatienummer van het Rijksregister dienstenintegrator, volstaat het dat de FOD aan Fedict meldt welke van natuurlijke personen te gebruiken als uniek identificatiegegeven toepassing het voorwerp is van een test/controle/onderhoud. Fedict, voor de bij de akte betrokken partijen. Het nummer zal uitdrukke- die ingevolge beraadslaging RR nr. 19/2008 over een machtiging lijk worden vermeld in de akten die zij verlijden als aanvulling op de voor test/controle/onderhoud beschikt, zal dan conform de modali- naam, voornamen, geboorteplaats en -datum en woonplaats, wat teiten bepaald in deze beraadslaging de nodige maatregelen treffen werd toegestaan bij beraadslaging van het comité van 8 mei 2013. (beraadslaging RR nr. 55/2013). Hoewel het door de notarissen beoogde doeleinde rechtmatig is op 2.2.2 Beraadslaging RR nr. 16/2013 van 13 februari 2013 basis van het authentieke karakter van notariële akten, onderstreepte het comité dat door het identificatienummer van het Rijksregister in de authentieke akte zelf op te nemen, de notarissen voorafgaand aan • • Directie Huisvesting ministerie van het Brussels Hoofdstedelijk iedere mededeling van een authentieke akte, zullen moeten verifiëren Gewest; of andere ontvangers dan de betrokkenen of hun rechthebbenden Uitgebreidere toegang tot het Rijksregister. gemachtigd zijn om het identificatienummer van het Rijksregister te gebruiken. Indien dit niet het geval is, zal de akte niet integraal kunnen In beraadslaging nr. 16/2013 heeft het comité zich uitgesproken over worden meegedeeld (identificatie van partijen in een uittreksel zonder de aanvraag van de Brusselse administratie bevoegd inzake huis- hun identificatienummer van het Rijksregister,…). vesting om haar machtiging voor toegang tot de gegevens van het Rijksregister uit te breiden tot het gegeven “wettelijke samenwoning” Ten slotte heeft het comité er eveneens op aangedrongen dat de om de taken uit te voeren verbonden aan de uitbetaling van premies, KFBN een referentiedocument zou opstellen voor informatiebeveili- toelagen en subsidies. De aanvrager vroeg eveneens dat de hoeda- ging door notariskantoren (verwijzing naar de wetgeving, vulgarisering nigheid van de personen die gemachtigd zijn om het Rijksregister te van de referentiemaatregelen van de Privacycommissie en een reeks raadplegen niet langer beperkt zou zijn tot de ambtenaren met een best practices) en dit permanent ter beschikking van de notarissen graad die overeenstemt met niveau 1 bij de Rijksambtenaren. zou stellen via een publicatie op het e-notariaat. Het Comité kreeg hiermee de gelegenheid om te herinneren aan haar rechtspraak die stelt dat in het licht van artikel 12, § 2 van de Wet op het Rijksregister de hoedanigheid van de personen die in de praktijk gemachtigd worden om het Rijksregister te raadplegen bepaald moet worden op basis van functionele criteria, verbonden aan het doeleinde waarvoor toegang tot het Rijksregister werd verleend, en niet op basis van organieke criteria. Het zijn bijgevolg alleen de verantwoordelijken of ambtenaren die functioneel zijn belast met de taken waarvoor een machtiging voor toegang tot het Rijksregister werd verleend, die kunnen aangeduid worden om het Rijksregister te raadplegen. Het Comité beschouwde de aanvraag op dit punt dan ook als zonder voorwerp. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 77 2.2.4 Beraadslaging RR nr. 30/2013 van 17 april 2013 2.2.5 Beraadslaging RR nr. 59/2013 van 10 juli 2013 • Gemeentelijke administratieve sancties; • Uitbreiding algemene machtiging ziekenhuizen; • Wettelijke vertegenwoordiging van persoon betrokken bij adminis- • Toegang tot extra informatiegegevens uit het Rijksregister voor pati- tratieve procedure. ëntenadministratie De provincie Luik werd gemachtigd om toegang te krijgen tot de infor- Bij de aanvraag die het voorwerp uitmaakte van deze beraadslaging matie bedoeld onder artikel 1, 1e lid, 15° van het Koninklijk Besluit werd verzocht om de bestaande algemene machtiging in hoofde van van 16 juli 1992 tot vaststelling van de informatie die opgenomen de ziekenhuizen uit te breiden en hun in het kader van patiënten- wordt in de bevolkingsregisters en in het vreemdelingenregister: “de administratie (facturering en invordering in het bijzonder) bijkomend akten en beslissingen betreffende de bekwaamheid van de meerder- toegang te verlenen tot het informatiegegeven “samenstelling van het jarige en de onbekwaamheid van de minderjarige”. Dit in toepassing gezin” uit het Rijksregister, en tot de verplichte plaats van inschrijving/ van artikel 16, eerste lid, 12° van de Rijksregister-wet, om de wetge- het bevoegde OCMW waarvan in het wachtregister ingeschreven ving inzake gemeentelijke administratieve boetes te kunnen uitvoeren. personen afhangen (code 207). Daarenboven wenst de aanvrager de reeds gemachtigde historiek van wijzigingen tijdens de 6 maanden Krachtens het Koninklijk Besluit van 27 februari 1985 waarbij aan voorafgaand aan iedere raadpleging, voor het gegeven “hoofdverblijf- de provinciegouverneurs en aan de bestendige deputaties van de plaats” te verlengen tot 2 jaar. provincieraden toegang wordt verleend tot het Rijksregister van de natuurlijke personen, hebben de provinciegouverneurs en de besten- Het comité weigert toegang tot het informatiegegeven “samenstelling dige deputatie reeds toegang tot het Rijksregister om de taken te van het gezin”. Gelet op het gevoelige karakter van de gegevens die vervullen waarvoor zij bevoegd zijn. op de ziekenhuisfactuur kunnen voorkomen, is het niet aangewezen dat het hele gezin potentieel zicht krijgt op de zorgverstrekkingen die Artikel 119bis, §1 van de nieuwe gemeentewet voorziet voor de ten aanzien van een of meerdere leden van het gezin worden gefac- gemeenten in de mogelijkheid om administratieve boetes op leggen. tureerd en dit enkel met het oog op een mogelijk relatief beperkte kostenbesparing (1 afbetalingsplan versturen in plaats van 2 of meer). De bestraffende ambtenaren worden meer en meer geconfron- Dit druist bovendien in tegen het medisch beroepsgeheim. teerd met gerechtvaardigde klachten van vermogensbeheerders die hameren op het feit dat de handelingen die raken aan het patrimo- Het comité stelt inzake de gevraagde toegang tot code 207 van het nium van de persoon onder voorlopige bewindvoering, zo ook de wachtregister vast dat dit gegeven de ziekenhuizen toelaat op effi- handelingen bij de procedure van de gemeentelijke administratieve ciënte wijze na te gaan welk OCMW zij voor financiële tussenkomst sancties, gericht moeten worden aan de vermogensbeheerder. Zo kunnen aanspreken en bereidt de algemene machtiging voor de niet is de beslissing van de bestraffende ambtenaar ongeldig (art. ziekenhuizen dan ook uit met toegang tot dit gegeven. 448bis K van het Burgerlijk Wetboek ). Het comité is verder van oordeel dat de gevraagde historiek geduHet gegeven “de akten en beslissingen betreffende de bekwaamheid rende 2 jaar als relevant en terzake dienend kan worden beschouwd van de meerderjarige en de onbekwaamheid van de minderjarige” met het oog op een efficiënte invordering van ziekenhuisfacturen. is noodzakelijk om te kunnen bepalen of de persoon tegen wie de bestraffende ambtenaar een administratieve procedure opstart, bijge- Daarom werd de algemene machtiging voor de ziekenhuizen staan of wettelijk vertegenwoordigd wordt door een derde persoon (beraadslaging RR nr. 21/2009 van 25 maart 2009) uitgebreid met en zo ja, om de identiteit van deze wettelijke vertegenwoordiger te een toegang tot de verplichte plaats van inschrijving, inzonderheid kunnen bepalen. code 207 uit het wachtregister en met een verlenging tot 2 jaar van de reeds gemachtigde historiek van wijzigingen voor het gegeven “hoofdverblijfplaats”. 78 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 2.2.6 Beraadslaging RR nr. 83/2013 van 11 december 2013 2.2.7 Beraadslaging RR nr. 84/2013 van 11 december 2013 • Koninklijke Federatie van het Belgisch Notariaat (KFBN); • • Toegang tot gegevens over afstamming en handelingsonbekwamen in bevolkings- en vreemdelingenregisters. Voedselconsumptiepeiling 2014 Op 11 december 2013 heeft het Sectoraal comité van het Rijksregister het Wetenschappelijk Instituut Volksgezondheid gemachtigd De KFBN heeft aan het comité de toestemming gevraagd dat zij om toegang te krijgen tot sommige gegevens van het Rijksregister alsook de notarissen zouden gemachtigd worden om via het Rijksre- en om het identificatienummer ervan te gebruiken in het raam van de gister toegang te krijgen tot de gegevens van “afstamming” en “akten Voedselconsumptiepeiling 2014. en beslissingen betreffende de bekwaamheid van de meerderjarige alsook betreffende de onbekwaamheid van de minderjarige”, opge- Het geplande onderzoek is bestemd voor het inzamelen van infor- nomen in de bevolkingsregisters van de gemeenten. matie met betrekking tot de voedselconsumptie van de brede bevolking (in termen van voedselkwaliteit en -kwantiteit) alsook met betrek- Deze aanvraag werd ingediend nadat het comité in zijn beraadslaging king tot voedingsgewoonten. 65/2009 heeft aangestipt dat de CAPA-gegevensbank van de KFBN niet conform was met de privacywet. De peiling zal gebeuren aan de hand van een mondelinge bevraging ten huize van de betrokkenen. De noodzaak om op die wijze tewerk Het Comité heeft besloten dat de machtigingsaanvraag van de KFBN te gaan wordt aangetoond in de aanvraag, zoals vereist door het ontvankelijk is voor zover de notarissen enkel toegang hebben tot de advies uit eigen beweging nr. 27/2008 van 3 september 2008 van de gevraagde gegevens voor de taken die zij verrichten als openbaar Privacycommissie alsook door het identiek addendum bij het “Vade- ambtenaar van wie de taak erin bestaat een authentiek karakter te mecum voor de onderzoeker” uitgegeven door de Privacycommissie verlenen aan de akten (voorbereidende taken bij het opstellen van in 2008. die aktes inbegrepen). De adviserende rol van een notaris los van het opstellen van een authentieke akte kan op zich geen toegang tot de De gegevens van de voedselconsumptiepeiling worden ingezameld gevraagde gegevens rechtvaardigen. aan de hand van interviews bij een representatief staal van de bevolking op nationaal niveau. De steekproeftrekking zal gebeuren in Het Comité heeft tevens benadrukt dat de KFBN als intermediaire verschillende etappes (steekproeftrekking op verschillende niveaus). organisatie de nodige organisatorische en/of technische maatre- Twee belangrijke technieken voor steekproeftrekking zullen worden gelen zal moeten nemen om zich te vergewissen van het rechtmatig toegepast: steekproeftrekking in gestratificeerde clusters en systema- karakter van de aanvragen voor de toegang tot de gegevens en om tische toevalssteekproeftrekking. zich te wapenen tegen afleiding van het doeleinde. De toegang tot de voormelde gegevens en wijzigingen zullen moeten gebeuren via het Om de gegevens op het terrein te verzamelen en de opvolging te bijhouden van een verwijzingsrepertorium dat ervoor zorgt dat enkel verzekeren zal aan de uitgelote personen een brief gestuurd worden de noodzakelijke gegevens worden vrijgeven gedurende de strikt (of aan de referentiepersonen voor de min 18-jarigen). Dit schrijven noodzakelijke periode. zal een uitnodiging en een informatiefolder bevatten betreffende het doeleinde en het verloop van de peiling, de benodigde tijd om deze Ten slotte neemt de machtiging van rechtswege een einde indien de in te vullen, het verzekeren van de vertrouwelijkheid, de opdrachtge- KFBN niet voor uiterlijk 30 juni 2014 aan het comité heeft bevestigd vers, enz. Er zal duidelijk worden vermeld dat de deelname vrijwillig dat de CAPA-gegevensbank is geschrapt. is en dat het mogelijk is de medewerking aan de peiling te allen tijde stop te zetten zonder enige rechtvaardiging. Een eventuele weigering zal geen enkel negatief gevolg hebben. De uitgelote personen die weigeren deel te nemen zullen niet opnieuw gecontacteerd worden. Een instemmingsformulier zal eveneens aan alle deelnemers gestuurd worden. De uitnodigingsbrief zal door de aanvrager verstuurd worden en niet door het Rijksregister. De aanvrager heeft een document bezorgd aan het comité waarin hij er zich toe verbindt het Vademecum van de onderzoeker na te leven. Het Comité stelt dus vast dat uit de door de aanvrager meegedeelde documenten blijkt dat hij wel degelijk van plan is om te werken Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 79 in overeenstemming met de voormelde gedragscode wat betreft: • hoe dan ook moet in de tekst worden verduidelijkt dat een eventuele de face-to-face enquête; het verkrijgen van de toestemming van de toegang voor de vzw Identifin niet ruimer kan zijn dan die van de betrokkene; de opleiding van de interviewers; de veiligheid van de informatieplichtigen. persoonsgegevens; de verslagen. Toch stonden deze bemerkingen een gunstige eindbeoordeling niet 2.2.8 Advies RR nr. 01/2013 van 11 december 2013 in de weg. • Tijdelijke toegang tot het Rijksregister door financiële instellingen; • Identificatie van cliënten bij het Centraal Aanspreekpunt van de 2.2.9 Gebruikers- en toegangsbeheer in de overheidssector: raadpleging van de databank “Verantwoordelijke Toegang Entiteit” Nationale Bank via rijksregisternummer. • Gebruikers- en toegangsbeheer in de overheidssector; Op 13 november 2013 verzocht de minister van Financiën het comité • Gebruikers uit de privésector; om advies over een ontwerp van koninklijk besluit waarbij de Natio- • Erkenning databank “verantwoordelijke toegang entiteit” als authen- nale Bank van België en de bank-, wissel-, krediet- en spaarinstel- tieke bron. lingen bedoeld in artikel 322 van het Wetboek van de inkomstenbelastingen (1992), gemachtigd worden tijdelijk toegang te hebben tot E-governmenttoepassingen die zich richten op gebruikers uit de het Rijksregister van de natuurlijke personen. privésector dienen een gepast systeem voor gebruikers- en toegangsbeheer uit te werken. Het comité oordeelt in beraadslaging RR nr. Artikel 322, § 3, van het Wetboek van Inkomstenbelastingen van 1992 29/2013 van 17 april 2013 en 44/2013 van 8 mei 2013 dat binnen verplicht de bank-, wissel-, krediet- of spaarinstellingen, hierna de een onderneming één persoon finaal toezicht moet uitoefenen op wie informatieplichtigen, om de identiteit van hun cliënten en de nummers binnen zijn organisatie toegang heeft tot e governmenttoepassingen . van hun rekeningen en contracten kenbaar te maken bij het Centraal Aanspreekpunt dat bij de Nationale Bank van België wordt gehouden. Dit systeem is in gebruik in het domein van de sociale zekerheid, Cliënten die in België ingeschreven zijn in de bevolkingsregisters, de de vennootschapsbelastingen en in het eHealth-platform. Voormelde vreemdelingenregisters, het wachtregister, en de diplomatieke en domeinen doen een beroep op een databank waarin voor elke deel- consulaire registers, worden verplicht geïdentificeerd met hun rijks- nemende onderneming een “verantwoordelijke toegang entiteit” (VTE) registernummer. geregistreerd wordt. Hiertoe wordt in de KBO eerst nagegaan wie als wettelijke vertegenwoordiger van een onderneming mag optreden, De informatieplichtigen beschikken niet voor al hun cliënten over en het is vervolgens deze persoon die een VTE aanduidt. De VTE een rijksregisternummer. Het ontwerp strekte er daarom toe om de kan volgens bepaalde regels taken en bevoegdheden toewijzen aan informatieplichtigen gedurende een jaar toegang te verlenen tot de personen al naargelang van de behoeften binnen zijn organisatie. gegevens naam, voornamen, geboorteplaats en –datum in het Rijksregister, om zo de corresponderende rijksregisternummers van hun Het comité is van oordeel dat deze VTE-databank beantwoordt aan cliënten op te zoeken. Er werd verder in het ontwerp bepaald dat de de functionele definitie van een authentieke bron. De beheerder van opzoekingen in batch zouden gebeuren, en via tussenkomst van de de VTE-databank valideert het gegeven “VTE” en biedt specifieke vzw Identifin. garanties ten aanzien van de juistheid, de volledigheid en de beschikbaarheid van dit gegeven. Het gegeven “VTE” wordt eenmalig gere- De opmerkingen van het comité waren de volgende: gistreerd en is vervolgens bruikbaar voor verschillende overheden. Het comité meent dat het inschakelen van de VTE van ondernemingen, • er moet in de tekst worden gepreciseerd dat er geen opzoeking en desgevallend van andere entiteiten, de norm moet worden in mag worden verricht wanneer een informatieplichtige niet over de gebruikers- en toegangsbeheer voor e-governmenttoepassingen om minimale parameters naam, voornamen, geboortedatum beschikt, het risico op onrechtmatige toegang tot gegevens te beperken. omdat er dan geen één-op-éénresultaat gegarandeerd is; • het is twijfelachtig of de vzw Identifin de meest geschikte intermediaire organisatie is. Sommige openbare overheden hebben meer ervaring met een dergelijke operatie en zijn dus beter uitgerust om met de nodige precisie her rijksregisternummer op te zoeken; 80 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 2.3 Sectoraal comité voor de Federale Overheid mies en/of -toelagen door de premieaanvragers. Aanvragen van huisvestingspremies en/of –toelagen beheren, vergt toegang tot precieze boekhoudkundige bewijsstukken en tot de noodzakelijke stukken om 2.3.1 Beraadslaging FO nr. 08/2013 van 7 maart 2013 de administratieve beslissingen ten opzichte van de betrokkenen te • 2.3.2 Beraadslaging FO nr. 33/2013 van 21 oktober 2013 Toegang Directie Huisvesting ministerie van het Brussels Hoofdstedelijk Gewest tot gegevens FOD Financiën; • staven en dus tot de bruto inkomstengegevens. Toekenning van huisvestingspremies; • Gegevensmededeling tussen de Service Public de Wallonie (Opera- betreffende een toegang door de Directie Huisvesting van het minis- tioneel Directoraat-Generaal ruimtelijke ordening, wonen, erfgoed terie van het Brussels Hoofdstedelijk Gewest tot de gegevens van en energie, departement erfgoed) om toegang te krijgen tot gege- de FOD Financiën voor de toekenning van huisvestingspremies en/ vens van de FOD Financiën, Algemene Administratie voor de Patri- of – tegemoetkomingen en voor de controle op de aan de sociale verhuurkantoren toegekende subsidies moniumdocumentatie; • Klassering van onroerende goederen en verwerking van de gegevens van de eigenaars hiervan. Tijdens de zitting van 7 maart 2013 heeft het comité zich uitgesproken over een aanvraag voor toegang tot inkomensgegevens en kadastrale Op 6 augustus 2013 ontving het comité een machtigingsaanvraag gegevens van de FOD Financiën door de Directie Huisvesting van het van de Service Public de Wallonie, Direction Générale Opération- ministerie van het Brussels Hoofdstedelijk Gewest. nelle de l’Aménagement du Territoire, du Logement, du Patrimoine et de l’Énergie, Département du Patrimoine, om bepaalde gegevens Aan de hand van de informatie van de FOD Financiën zal de Directie te kunnen opvragen bij de FOD Financiën, Algemene Administratie Huisvesting van het Ministerie van het Brussels Hoofdstedelijk voor de Patrimoniumdocumentatie (AAPD). Gewest nagaan of de aanvragers van premies en/of tegemoetkomingen (verhuistoelage en tussenkomst in de huur, premie voor De Directie Erfgoedbescherming heeft als opdracht de klassering van renovatie van woningen, premies voor gevelverfraaiing) de vereiste onroerende goederen te verzekeren in het raam van een procedure wettelijke toekenningsvoorwaarden respecteren. Zij zal in het raam beschreven in het Waals Wetboek van Ruimtelijke Ordening, Steden- van de controle op de aan sociale verhuurkantoren toegekende bouw, Patrimonium en Energie (WWROSPE). subsidies eveneens willekeurige controles uitvoeren naar de juistheid van de informatie die deze kantoren meegedeeld hebben. De Directie In dit raam staat zij in voor: Huisvesting zal eveneens verifiëren of de inkomsten van huurders die de sociale verhuurkantoren vermelden als lager dan het niveau • dat recht geeft op een sociale woning, zich wel degelijk onder dit over te gaan, zodat alle betrokken eigenaars hun opmerkingen over plafond bevinden indien het sociale verhuurkantoor niet in staat was het wettelijk verplichte bewijs van de inkomsten van zijn huurders te de betekening van de beslissing om tot de klasseringsprocedure het klasseringsproject kunnen formuleren; • leveren. de betekening van het klasseringsbesluit op het einde van de procedure. Het comité heeft gunstig gereageerd op de toegangsaanvraag van Voor klasseringsdossiers met betrekking tot een beperkt aantal de Brusselse administratie, maar zich er wel van vergewist dat de percelen voeren de ambtenaren van de Directie Erfgoedbescher- beginselen van de Privacywet worden nageleefd. Zo heeft het comité ming die toegang hebben tot de onlinegegevens van het kadaster erover gewaakt dat enkel geplafonneerde of samengevoegde infor- (CADNET) momenteel een manuele opzoeking uit naar de identiteit en matie wordt verstrekt wanneer dit volstaat om te voldoen aan de adres van de eigenaar en kopiëren zij deze gegevens om het schrijven opdrachten van openbaar nut van de aanvrager. Verder heeft het te versturen waarvan sprake in de voorgaande punten. Voor klasse- comité vastgesteld dat in het raam van het doeleinde, dat erin bestaat ringsdossiers met betrekking tot een groot aantal percelen biedt de aan sociale verhuurkantoren toegekende subsidies te controleren, voormelde methode evenwel geen voldoening, aangezien de manuele enkel de inkomstengegevens in samengevoegde vorm noodzakelijk inzameling van de identificatiegegevens van de eigenaars omslachtig waren, m.a.w. had het betrokken gezin in het referentiejaar al dan niet en tijdrovend is. Daarom wenst de aanvrager de kadastrale gege- een inkomen onder het wettelijk plafond voor een sociale woning? vens te ontvangen (rijksregisternummer, naam, voornaam, geslacht Het comité onderstreepte dat de drie andere doeleinden waarvoor de en adres) van de eigenaar van een perceel dat het onderwerp vormt aanvrager toegang vroeg tot de gegevens van de FOD Financiën, in van een klasseringsprocedure. tegenstelling tot het doeleinde controle van aan sociale verhuurkantoren toegekende subsidies, erin bestonden controle uit te voeren Een machtigingsaanvraag voor toegang tot de gegevens naam, voor- op de naleving van de toekenningsvoorwaarden van huisvestingspre- naam, geslacht en hoofdverblijfplaats alsook voor het gebruik van het Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 81 identificatienummer van het Rijksregister werd eveneens ingediend bij invaliditeitsverzekering en de ziekenfondsen (al dan niet via het het Sectoraal comité van het Rijksregister. Intermutualistisch Agentschap). Naast de courante toepassing van de privacyprincipes, had het sectoraal comité bijzondere aandacht Uit wat voorafgaat blijkt dat de beoogde doeleinden welbepaald, voor de uitvoering van de kennisgevingsplicht en voor de koppe- uitdrukkelijk omschreven en gerechtvaardigd zijn in de zin van artikel lings- en coderingsprocedure. 4, § 1, 2°, Privacywet. 3. Het sectoraal comité heeft in een aantal beraadslagingen de verwer- De beginselen van de Privacywet werden geëerbiedigd. king van niet-gecodeerde persoonsgegevens toegestaan, rekening 2.4 Sectoraal comité van de Sociale Zekerheid en van de Gezondheid houdend met de finaliteiten in kwestie. Het ging onder meer om volgende beraadslagingen: • beraadslaging nr. 13/088 van 2 september 2013 met betrek- 2.4.1 Afdeling Gezondheid king tot de mededeling van persoonsgegevens die de gezond- eHealth Alle aanbevelingen/beraadslagingen die de afdeling Gezondheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezond- heid in het kader van een aanvraag tot tegemoetkoming voor heid betreffen door geneesheren aan de FOD Sociale Zekerpersonen met een handicap; • beraadslaging nr. 13/066 van 18 juni 2013 met betrekking heid het afgelopen jaar uitbracht in het kader van de Wet van 21 tot de mededeling van persoonsgegevens die de gezondheid augustus 2008 houdende oprichting en organisatie van het eHealth- betreffen door zorginstellingen aan politiediensten in het kader platform (artikelen 5, 9, 10 en 11), kunnen worden geraadpleegd op de website van het eHealth-platform (https://www.ehealth.fgov.be/nl/ van een onrustwekkende verdwijning; • over-ehealth/organisatie/sectoraal-comite/beraadslagingen). beraadslaging nr. 13/009 van 22 januari 2013 met betrekking tot de uitwisseling van persoonsgegevens die de gezondheid betreffen voor een medische herevaluatie in het kader van het Beslissingen van de afdeling Gezondheid afsluiten van een schuldsaldoverzekering voor personen met 1. Bij beraadslaging nr. 07/03 van 9 januari 2007, laatst gewijzigd een verhoogd gezondheidsrisico. op 5 juli 2011, betreffende de mededeling van persoonsgegevens door verzekeringsinstellingen aan zorgverleners in het kader 4. In het kader van het hub- en metahubsysteem dat de uitwisseling van de derdebetalersregeling, heeft het sectoraal comité beslist nastreeft van gezondheidsgegevens tussen zorgverleners in het dat de ziekenhuizen vanaf 31 mei 2012 slechts mededeling van kader van de zorg voor de gezondheid van de betrokkene (goedge- persoonsgegevens zouden krijgen voor zover zij beschikken over keurd bij beraadslaging nr. 11/089 van 22 november 2011) hebben een informatieveiligheidsconsulent enerzijds en een veiligheidsplan drie hubs in 2013 een toetredingsaanvraag ter goedkeuring voor- anderzijds. De FOD Volksgezondheid heeft de ziekenhuizen aan gelegd aan het sectoraal comité, meer bepaald de vzw FRATEM deze verplichting herinnerd door middel van een omzendbrief die in (beraadslaging nr. 13/052 van 21 mei 2013), de vzw ABRUMET november 2011 werd verzonden. (beraadslaging nr. 13/064 van 18 juni 2013) en de vzw Collaboratief Zorgplatform Vlaanderen (beraadslaging nr. 13/012 van 19 februari In dit kader heeft het sectoraal comité in 2013 75 adviezen 2013). De aanvragen werden getoetst aan het reglement van het verleend betreffende de kandidatuurstelling van informatieveilig- hub- en metahubsysteem en werden goedgekeurd. heidsconsulenten in ziekenhuizen. De kandidaten werden geëvalueerd op basis van hun opleiding, hun eventuele overige functies 5. Er werden tevens een aantal beraadslagingen aangenomen of binnen het betreffende ziekenhuis en de voorziene tijdsbesteding gewijzigd over de samenstelling en de terbeschikkingstelling van aan hun functie als informatieveiligheidsconsulent. Het sectoraal registers van gezondheidsgegevens. Het gaat onder meer om: comité heeft het merendeel van de kandidaten opgelegd om een specifieke opleiding te volgen inzake een of meer van de • beraadslaging nr. 13/091 van 17 september 2013 met betrek- volgende onderdelen: informatica, geneeskundige informatica, king tot de mededeling van persoonsgegevens door de labora- informatieveiligheid en de sector van de gezondheidszorg. toria voor pathologische anatomie en de ziekenfondsen aan de Stichting Kankerregister, met het oog op het opzetten van het 2. Het sectoraal comité heeft in 2013 de goedkeuring verleend aan de colorectaal cyto-histopathologieregister en het gebruik ervan in mededeling van persoonsgegevens die de gezondheid betreffen in het kader van het bevolkingsonderzoek naar dikkedarmkanker het kader van een groot aantal wetenschappelijke studies, onder leiding van of in samenwerking met o.a. Belgische universiteiten, door de Vlaamse Gemeenschap; • beraadslaging nr. 09/017 van 17 maart 2009, laatst gewijzigd beroepsverenigingen, de Stichting Kankerregister, het Weten- op 22 januari 2013, met betrekking tot de mededeling van schappelijk Instituut Volksgezondheid, het Federaal Kenniscen- gecodeerde persoonsgegevens door ziekenhuizen aan de trum voor de Gezondheidszorg, het Rijksinstituut voor ziekte- en federale overheidsdienst Volksgezondheid, Veiligheid van de 82 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 Voedselketen en Leefmilieu in het kader van een pilootproject inzake de registratie van spoedgevallen; • beraadslaging nr. 13/105 van 22 oktober 2013 met betrekking tot de mededeling van gecodeerde persoonsgegevens die de gezondheid betreffen aan het Wetenschappelijk Instituut Volksgezondheid in het kader van het centraal register zeldzame ziekten. 6. Tot slot werd bij beraadslaging nr. 13/130 van 17 december 2013 Veiligheidsmaatregelen voor raadpleging van het netwerk van de sociale zekerheid via de DOLSIS-webtoepassing In haar aanbeveling nr. 12/01 van 8 mei 2012 heeft de afdeling Sociale Zekerheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid een resem veiligheidsmaatregelen vastgelegd die moeten worden gerespecteerd door de instanties die in het netwerk van de sociale zekerheid persoonsgegevens willen raadplegen met een webtoepassing genaamd DOLSIS. Zij heeft twee soorten gebruikers gedefinieerd: inspectiediensten en administratieve diensten. de uitbreiding gemachtigd van de samenstelling van de permanente representatieve steekproef van het Intermutualistisch Agentschap, De volgende inspectiediensten werden in 2013 gemachtigd om mits een uitbreiding met twee variabelen over de gezinssituatie afkomstig het naleven van de bepalingen van de hogervermelde aanbeveling van de verzekeringsinstellingen. via DOLSIS toegang tot het netwerk van de sociale zekerheid te bekomen: de Rijksdienst voor Sociale Zekerheid (beraadslaging nr. 2.4.2 Afdeling Sociale Zekerheid 13/011 van 5 februari 2013), de directie Controle van het Wegvervoer van de federale overheidsdienst Mobiliteit en Vervoer (beraadslaging De volledige lijst met beraadslagingen van de afdeling Sociale Zeker- nr. 13/018 van 5 maart 2013), de Administratie van de Bijzondere heid van het Sectoraal comité van de Sociale Zekerheid en van de Belastinginspectie (beraadslaging nr. 13/019 van 5 maart 2013), de Gezondheid, is beschikbaar op volgend adres: http://www.ksz.fgov. Veiligheid van de Staat (beraadslaging nr. 13/035 van 2 april 2013), … be/nl/bcss/page/content/websites/belgium/security/committee_03/ committee_03_04.html. De meest belangwekkende beslissingen De volgende administratieve diensten verkregen in 2013 via DOLSIS worden hieronder toegelicht. een toegang tot sommige persoonsgegevensbanken uit het netwerk van de sociale zekerheid: de directie Administratieve Geldboeten Toegang tot de Kruispuntbankregisters De afdeling Sociale Zekerheid van het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid heeft in 2013 opnieuw heel wat instanties toegang tot de Kruispuntbankregisters verleend. De Kruispuntbankregisters worden bijgehouden door de Kruispuntbank van de Sociale Zekerheid, bevatten uitsluitend identificatiepersoons- van de federale overheidsdienst Werkgelegenheid, Arbeid en Sociaal gegevens en zijn complementair en subsidiair ten opzichte van het maatschappij en de openbare vastgoedmaatschappijen (beraadsla- Rijksregister van de natuurlijke personen. ging nr. 13/122 van 3 december 2013), … De volgende instanties werden aldus gemachtigd om voor hun erkende laboratoria voor pathologische anatomie (beraadslaging nr. Varia De afdeling Sociale Zekerheid heeft daarenboven ingestemd met verschillende mededelingen van persoonsgegevens die fraudebe- 13/002 van 15 januari 2013), , de federale overheidsdienst Buiten- strijding tot doel hebben, zoals de mededeling van persoonsgege- landse Zaken (beraadslaging nr. 13/039 van 2 april 2013), de Direc- vens door de Rijksdienst voor Sociale Zekerheid en de Rijksdienst tion Générale Opérationnelle de la Fiscalité van de Waalse over- voor Arbeidsvoorziening aan de federale overheidsdienst Financiën heidsdienst (beraadslaging nr. 13/071 van 2 juli 2013), de erkende met het oog op fraudebestrijding in de bouwsector (beraadslaging onthaalbureaus en de Huizen voor het Nederlands (beraadslaging nr. nr. 13/084 van 3 september 2013, gewijzigd op 5 november 2013). opdrachten toegang tot de Kruispuntbankregisters te bekomen: de Overleg (beraadslaging nr. 13/017 van 5 maart 2013), de directie Bevordering van de Tewerkstelling van de Waalse Overheidsdienst (beraadslaging nr. 13/025 van 5 maart 2013), de Waalse dienst voor arbeidsbemiddeling en beroepsopleiding FOREM (beraadslaging nr. 13/090 van 1 oktober 2013 de Brusselse Gewestelijke Huisvestings- 13/077 van 2 juli 2013), …. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 83 Het sectoraal comité heeft bovendien eind 2013 zijn goedkeuring Ten slotte is de afdeling sociale zekerheid in 2013 blijven instaan voor verleend voor informaticatechnieken voor de aangetekende verzen- het toezicht op de werking van de diverse actoren van de sociale ding van elektronisch ondertekende documenten. Zo kan voortaan zekerheid, onder meer door controle op de naleving van de minimale een dienst worden aangeboden die het mogelijk maakt om elek- veiligheidsnormen, adviesverlening over informatieveiligheidsconsu- tronisch ondertekende documenten – met de tussenkomst van de lenten en de analyse van de rapporten van de diverse inspectiedien- Kruispuntbank van de Sociale Zekerheid – aangetekend te verzenden sten over hun raadpleging van persoonsgegevens in het netwerk van aan burgers, werkgevers en hun mandatarissen. de sociale zekerheid. Verder heeft de afdeling Sociale Zekerheid zich ook in 2013 herhaaldelijk in gunstige zin uitgesproken over de medewerking van de Kruispuntbank van de Sociale Zekerheid aan wetenschappelijke onderzoeken die nuttig zijn voor de conceptie, het beheer en de kennis van de sociale zekerheid. Deze medewerking gebeurde voornamelijk voor het datawarehouse “arbeidsmarkt en sociale bescherming”, dat wordt beheerd door de Kruispuntbank van de Sociale Zekerheid en gecodeerde sociaal-economische persoonsgegevens van de diverse instellingen van sociale zekerheid bevat. 84 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 3 Activiteiten van de sectorale comités in cijfers Binnen de Privacycommissie zijn sectorale comités ingesteld. Deze vragen en de nog openstaande aanvragen uit 2012 hebben 331 comités zien toe op de naleving van de privacywetgeving in een begunstigden in 2013 een positieve evaluatie ontvangen waardoor bepaalde sector. Er zijn 6 sectorale comités: het Sectoraal comité van ze op basis van de voorwaarden opgenomen in de algemene mach- het Rijksregister, het Sectoraal comité van de Sociale Zekerheid en tiging toegang hebben gekregen tot het Rijksregister van de natuur- van de Gezondheid, het Sectoraal comité voor de Federale Overheid, lijk personen en het identificatienummer ervan mogen gebruiken. De het Sectoraal comité van de Kruispuntbank van Ondernemingen, het behandeling van 10 dossiers werd stopgezet. Sectoraal Toezichtscomité Phenix en het Statistisch Toezichtscomité. Aangezien het Statistisch Toezichtscomité in 2013 nog niet was Van de 91 individuele machtigingsaanvragen zijn in 2013 65 samengesteld, oefende de Privacycommissie voorlopig de bevoegd- aanvragen behandeld. Samen met de nog openstaande aanvragen heden ervan uit. uit 2012 hebben deze volgende resultaten opgeleverd: 81 aanvragen 3.1 Sectoraal comité voor de Federale Overheid zijn gemachtigd om toegang te krijgen tot het Rijksregister van de natuurlijke personen en mogen het identificatienummer van het Rijksregister ervan gebruiken, voor 19 van deze aanvragers is deze machtiging wel verleend onder opschortende voorwaarden, voor 4 onder Het Sectoraal comité voor de Federale Overheid ziet toe op de elek- ontbindende voorwaarden. Aan 3 aanvragers werd een machtiging tronische mededeling van persoonsgegevens binnen de Federale voor een bepaalde duur toegekend. 2 aanvragers verkregen een Overheid en verleent machtiging voor de elektronische mededeling gedeeltelijke machtiging. 2 machtigingsaanvragen zijn geweigerd, bij van persoonsgegevens door een federale overheidsdienst of door 5 werd de behandeling stopgezet. een overheidsinstantie met rechtspersoonlijkheid die tot de Federale Overheid behoort. Het comité ontving 42 aanvragen tot individuele In 2013 ontving en behandelde het Sectoraal comité van het Rijksre- machtiging. Naast individuele machtigingen zijn 28 aanvragen tot gister ook 1 adviesaanvraag. aansluiting bij een algemene machtiging ontvangen. De 44 in 2013 behandelde individuele machtigingsdossiers hebben geresulteerd in 35 machtigingen, 3 gedeeltelijke machtigingen en in 5 3.3 Sectoraal comité van de Kruispuntbank van Ondernemingen en Sectoraal Toezichtscomité Phenix dossiers werd de behandeling stopgezet. De 33 behandelde aansluitingen resulteerden allen in een machtiging. In 2013 zijn er 2 alge- Noch het Sectoraal comité van de Kruispuntbank van Ondernemingen mene machtigingsdossiers opgestart die aanleiding hebben gegeven – dat toeziet op de veiligheid van gegevensverwerkingen binnen de tot 2 bijkomende algemene machtigingen. Kruispuntbank – noch het Sectoraal Toezichtscomité Phenix – dat toeziet op de veiligheid en de bescherming van gegevensverwer- In 2013 ontving en behandelde het Sectoraal comité voor de Federale kingen binnen de Belgische justitie – kreeg het afgelopen jaar een Overheid ook 1 adviesaanvraag. ontvankelijke machtigingsaanvraag. 3.2 Sectoraal comité van het Rijksregister Machtigingen verlenen voor mededeling van de gegevens van het Rijksregister en gebruik van het Rijksregisternummer behoort tot de competentie van het Sectoraal comité van het Rijksregister. In 2013 zijn 410 machtigingsaanvragen ontvangen. Een onderscheid kan gemaakt worden tussen individuele machtigingsaanvragen en algemene machtigingsaanvragen. Wanneer het sectoraal comité een individuele machtiging verleent, wordt/worden de specifieke begunstigde(n) ervan in de beraadslaging vermeld. Voor de algemene machtigingen is een systeem van aansluitingen uitgewerkt. In 2013 zijn er 3 algemene machtigingsdossier bijgekomen. Alle algemene machtigingen hebben aanleiding gegeven tot 319 aansluitingsaanvragen. Op basis van de nieuwe aansluitingsaan- Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 85 4 Dossiers behandeld door de sectorale comités in 2013 4.1 Dossier behandeld door het Sectoraal comité van de Sociale Zekerheid en van de Gezondheid: SCSZ&G-dossiers in cijfers 4.1.1 Afdeling Gezondheid - adviezen: 36 - beraadslagingen: 39 4.1.2 Afdeling Sociale Zekerheid - adviezen: 72 - beraadslagingen: 120 86 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 4.2 Dossiers behandeld door het Sectoraal comité voor de Federale Overheid: FO-MA dossiers in cijfers 4.2.1 Globale analyse FO-MA dossiers 2013 per type FO-MA dossier IN FO-MA dossier OUT % afgesloten 25 17 68,00 8 4 21 aansluiting 16 8 50,00 8 4 12 algemene machtiging 0 0 nvt 0 0 0 individuele machtiging 9 9 100,00 0 0 9 16 12 75,00 4 13 25 Trimester 01.2013 - 03.2013 04.2013 - 06.2013 FO-MA dossier open FO-MA dossier <2013 OUT Totaal FO-MA dossier OUT aansluiting 6 2 33,33 4 5 7 algemene machtiging 0 0 nvt 0 0 0 individuele machtiging 10 10 100,00 0 8 18 07.2013 - 09.2013 18 16 88,89 2 3 19 aansluiting 5 4 80,00 1 0 4 algemene machtiging 2 2 nvt 0 0 2 individuele machtiging 11 10 90,91 1 3 13 10.2013 - 12.2013 13 3 23,08 10 11 14 aansluiting 1 0 0,00 1 10 10 algemene machtiging 0 0 nvt 0 0 0 individuele machtiging 12 3 25,00 9 1 4 globaal 72 48 66,67 24 31 79 aansluiting 28 14 50,00 14 19 33 algemene machtiging 2 2 100,00 0 0 2 individuele machtiging 42 32 76,19 10 12 44 MA NL FO-MA dossiers 2013 per type 50 Aantal 40 30 20 33 28 14 32 14 10 10 0 44 42 2 aansluiting 2 0 2 algemene machtiging individuele machtiging FO-MA dossier IN FO-MA dossier OUT FO-MA dossier open Totaal FO-MA dossier OUT STAT-MA dossiers 2013 per type Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 87 4.2.2 Behandelingstermijn FO-MA dossiers Aansluiting Behandelingstermijn Afgesloten dossiers ** (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) ≤ 45 d 27 96,43 9 64,29 > 45 d 1 3,57 5 35,71 on hold * of behandeling stopgezet 5 nvt nvt nvt globaal 33 100 14 100 * Dossier niet in staat, de aanvrager heeft momenteel nog geen antwoord vertrekt op de overgemaakte vragen waardoor de behandeling van het dossier op "on hold" is geplaatst ** Voor de afgesloten dossier worden de dossiers die onontvankelijk zijn of waarvoor de behandeling is stopgezet niet opgenomen in de berekening van de behandelingstermijn Individuele machtigingen Behandelingstermijn Afgesloten dossiers ** (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) ≤ 45 d 34 87,18 8 80,00 > 45 d 5 12,82 2 20,00 on hold * of behandeling stopgezet 5 nvt nvt nvt globaal 44 100 10 100 Wettelijk opgelegde behandelingstermijn: 30 dagen na ontvangst van het technisch en juridisch advies met een maximum van 45 dagen nadat het dossier volledig in orde is. 88 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 4.2.3 Gevolg verleend aan de afgesloten FO machtigingsdossiers Dossiertype Aansluiting Gevolg Aantal 84,85 5 15,15 23 52,27 machtiging met ontbindende voorwaarde 1 2,27 machtiging met opschortende voorwaarde 11 25,00 machtiging van bepaalde duur 1 2,27 gedeeltelijke machtiging 3 6,82 behandeling stopgezet 5 11,36 machtiging behandeling stopgezet Individuele machtiging % / dossiertype 28 machtiging 4.2.4 Aantal aansluitingen per algemene machtiging Algemene machtiging Aantal FO nr 12/2009 (01/10/2009) 10 FO nr 17/2010 (21/10/2010) 7 FO nr 04/2012 (29/03/2012) 11 4.2.5 Adviezen Sectoraal comité voor de Federale Overheid Het Sectoraal comité voor de Federale Overheid bracht in 2013 ook 1 advies uit. Dit advies werd binnen de wettelijke termijn van 60 dagen na aanvraag behandeld met als resultaat ‘gunstig’. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 89 4.3 Dossiers behandeld door Statistisch Toezichtscomité: STAT-MA dossiers in cijfers 4.3.1 Globale analyse STAT-MA dossiers 2013 per type MATrimester NL STAT-MA dossier IN STAT-MA dossier OUT % afgesloten STAT-MA dossier open STAT-MA dossier <2013 OUT Totaal STAT-MA dossier OUT 01.2013 - 03.2013 3 3 100,00 0 3 6 aansluiting 0 0 nvt 0 0 0 0 0 0 0 nvt 0 FO-MA dossiers 2013 per type 3 3 100,00 0 algemene machtiging individuele machtiging 04.2013 - 06.2013 aansluiting 50 3 6 8 8 100,00 0 4 12 0 0 nvt 0 42 440 0 algemene machtiging 0 individuele machtiging 8 40 Aantal 07.2013 - 09.2013 aansluiting 30 28 0 nvt 8 100,00 0 7 7 100,00 0 0 nvt 0 nvt 0 33 140 14 20 algemene machtiging individuele machtiging 7 7 10.2013 - 12.2013 4 1 aansluiting 0 0 10 0 algemene machtiging 0 aansluiting individuele machtiging 4 100,00 2 2 25,00 0 0algemene machtiging nvt 1 globaal 0 0 4 12 0 2 9 0 0 0 0 0 32 10 0 2 nvt 25,00 FO-MA dossier IN19 22 2 9 3 0 1 0 0 0 0 0 individuele machtiging 0 3 FO-MA dossier OUT 86,36 3 FO-MA dossier open 0 0 aansluiting 0 Totaal FO-MA dossier OUT nvt 0 0 1 9 28 0 0 algemene machtiging 0 0 nvt 0 0 0 individuele machtiging 22 19 86,36 3 9 28 STAT-MA dossiers 2013 per type 28 30 22 Aantal 25 20 19 15 10 5 0 90 0 0 0 0 aansluiting 0 0 0 3 0 algemene machtiging individuele machtiging STAT-MA dossier IN STAT-MA dossier OUT STAT-MA dossier open Totaal STAT-MA dossier OUT Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 4.3.2 Behandelingstermijn STAT-MA dossiers Individuele machtiging Behandelingstermijn Afgesloten dossiers ** (Aantallen) Afgesloten dossiers (%) ≤ 45 d 26 92,86 Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) 3 100,00 > 45 d 2 7,14 0 0,00 on hold * of behandeling stopgezet 0 nvt nvt nvt globaal 28 100 3 100 4.3.3 Gevolg verleend aan de afgesloten STAT machtigingsdossiers Dossiertype Individuele machtiging Gevolg machtiging Aantal % / dossiertype 24 85,71 machtiging met opschortende voorwaarde 3 10,71 weigering 1 3,57 Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 91 4.4 Dossiers behandeld door het Sectoraal comité van het Rijksregister: RR-MA dossiers in cijfers 4.4.1 Globale analyse RR-MA dossiers 2013 per type RR-MA dossier IN Trimester RR-MA dossier OUT RR-MA dossier open % afgesloten RR-MA dossier <2013 OUT Totaal RR-MA dossier OUT 01.2013 - 03.2013 63 60 95,24 3 15 75 aansluiting 39 38 97,44 1 14 52 algemene machtiging 1 1 100,00 0 0 1 individuele machtiging 23 21 91,30 2 1 22 04.2013 - 06.2013 186 181 97,31 5 28 209 aansluiting 163 159 97,55 4 18 177 algemene machtiging 0 0 nvt 0 1 1 individuele machtiging 23 22 95,65 1 9 31 07.2013 - 09.2013 90 82 91,11 8 5 87 aansluiting 70 68 97,14 2 2 70 algemene machtiging 0 0 nvt 0 0 0 individuele machtiging 20 14 70,00 6 3 17 10.2013 - 12.2013 74 35 47,30 39 26 61 aansluiting 47 27 57,45 20 16 43 algemene machtiging 2 0 0,00 2 1 1 individuele machtiging 25 8 32,00 17 9 17 globaal 413 358 86,68 55 74 432 aansluiting 319 292 91,54 27 50 342 algemene machtiging 3 1 33,33 2 2 3 individuele machtiging 91 65 71,43 26 22 87 RR-MA dossiers 2013 per type 350 300 319 342 292 Aantal 250 200 150 100 50 0 92 91 27 aansluiting 3 1 2 26 3 algemene machtiging 87 65 individuele machtiging RR-MA dossier IN RR-MA dossier OUT RR-MA dossier open Totaal RR-MA dossier OUT Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 4.4.2 Behandelingstermijn RR-MA dossiers Aansluiting Behandelingstermijn Afgesloten dossiers ** (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) ≤ 45 d 328 98,80 21 77,78 > 45 d 4 1,20 6 22,22 on hold * of behandeling stopgezet 10 nvt nvt nvt globaal 342 100 27 100 Individuele machtiging Behandelingstermijn Afgesloten dossiers ** (Aantallen) Afgesloten dossiers (%) Dossiers in behandeling (Aantallen) Dossiers in behandeling (%) ≤ 45 d 78 95,12 15 57,69 > 45 d 4 4,88 11 42,31 on hold * of behandeling stopgezet 5 nvt nvt nvt globaal 87 100 26 100 Wettelijk opgelegde behandelingstermijn: 30 dagen na ontvangst van het technisch en juridisch advies met een maximum van 45 dagen nadat het dossier volledig in orde is. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 93 4.4.3 Gevolg verleend aan de afgesloten RR machtigingsdossiers Dossiertype Gevolg Aansluiting secretariaat Individuele machtiging Aantal machtiging % / dossiertype 330 96,49 machtiging met opschortende voorwaarde 1 0,29 weigering 1 0,29 behandeling stopgezet 10 2,92 machtiging 52 59,77 machtiging met opschortende voorwaarde 19 21,84 machtiging met ontbindende voorwaarde 4 4,60 machtiging van bepaalde duur 3 3,45 gedeeltelijke machtiging 2 2,30 weigering 2 2,30 behandeling stopgezet 5 5,75 4.4.4 Aantal aansluitingen per algemene machtiging Algemene machtiging RR nr 08/2006 (22/03/2006) Aantal 258 RR nr 46/2008 (12/11/2008) 8 RR nr 21/2009 (25/03/2009) 24 RR nr 22/2009 (25/03/2009) 5 RR nr 38/2009 (17/06/2009) 2 RR nr 74/2009 (23/12/2009) 2 RR nr 15/2010 (14/04/2010) 3 RR nr 35/2010 (06/10/2010) 7 RR nr 02/2011 (26/01/2011) 12 RR nr 40/2011 (20/07/2011) 1 RR nr 21/2012 (14/03/2012) 2 RR nr 55/2012 (18/07/2012) 1 RR nr 83/2012 (17/10/2012) 1 RR nr 10/2013 (16/01/2013) 3 RR nr 13/2013 (13/02/2013) 2 94 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 4.4.5 Adviezen Sectoraal comité van het Rijksregister Het Sectoraal comité van het Rijksregister bracht in 2013 ook 1 advies uit. Dit advies werd binnen de wettelijke termijn van 60 dagen na aanvraag behandeld met als resultaat 'gunstig met voorwaarden'. 4.5 Dossiers behandeld door het Sectoraal comité van de Kruispuntbank van Ondernemingen: KBO dossiers in cijfers Het adviesdossier geopend in 2012 werd dit jaar afgesloten. Deze adviesaanvraag werd evenwel verder behandeld in een adviesdossier van de Commissie dat aanleiding gaf tot de beslissing nr. 5/2013. Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 95 5 Vergelijkende analyse: 2012 - 2013 5.1 Openen van dossiers 2012 Kerndossiers 2013 ∆ IN - nominaal 2 896 3 532 636 Beslissingsdossiers 845 882 37 SCSZ&G-MA 159 159 0 SCSZ&G-A 132 108 -24 FO-MA 46 42 -4 FO-AD 40 28 -12 FO-ALG 2 2 0 FO-A 0 1 1 STAT-MA 38 22 -16 STAT-ALG 0 0 0 RR-MA 106 91 -15 RR-AD 229 319 90 5 3 -2 RR-ALG RR-A 0 1 1 CO-A 44 69 25 7 4 -3 CO-AR CO-LV CO-EVAL KBO-A RPR-aangiftedossiers Kennisgeving mobiele camera 9 11 2 28 22 -6 0 0 0 7 370 6 037 -1 333 115 85 -30 PR-dossiers 32 98 66 FO-dossiers 1 892 2 868 976 96 Commissie voor de bescherming van de persoonlijke levenssfeer | Jaarverslag 2013 deel 2 5.2 Afsluiten van dossiers 2012* Kerndossiers 2013 ∆ IN - nominaal 2 398 3 028 630 566 656 90 FO-MA 35 44 9 FO-AD 43 33 -10 FO-ALG 2 2 0 FO-A 0 0 0 STAT-MA 31 28 -3 STAT-ALG 1 0 -1 Beslissingsdossiers RR-MA 105 87 -18 RR-AD 263 342 79 5 3 -2 RR-ALG RR-A 0 0 0 CO-A 39 71 32 9 7 -2 CO-AR CO-LV CO-EVAL 9 11 2 24 27 3 0 1 1 KBO-A * Deze cijfers voor 2012 kunnen verschillen van wat terug te vinden is in het Jaarverslag 2012. Dit komt omdat dit jaar voor de beslissingsdossiers ook de in 2013 afgesloten dossiers zijn meegerekend die vóór 2013 geopend werden. Om een vergelijking met 2012 mogelijk te maken werden hierboven dezelfde cijfers voor het jaar 2012 opgenomen. SCSZ&G-MA SCSZ&G-A Machtiging 'Sociale Zekerheid en Gezondheid' RR-A Advies 'Sociale Zekerheid en Gezondheid' KBO-A Adviesaanvragen 'Kruispuntbank Ondernemingen' FO-MA Machtiging 'Federale Overheid' FO-AD Aansluiting algemene machtiging 'Federale Overheid' CO-AR Aanbeveling Commissie Algemene machtiging 'Federale Overheid' CO-LV Aanbeveling latere verwerking Commissie FO-ALG FO-A STAT-MA STAT-ALG Advies 'Federale Overheid' CO-EVAL Machtiging 'Statistisch Toezichtscomité' Algemene machtiging 'Statistisch Toezichtscomité' RR-MA Machtiging 'Rijksregister' RR-AD Aansluiting algemene machtiging 'Rijksregister' RR-ALG CO-A Advies 'Rijksregister' RPR Adviesaanvragen (artikel 29 WPL) Commissie Evaluatie impact adviezen Commissie Openbaar register PR Pers FO Front office - eerste lijnsondersteuning Algemene machtiging 'Rijksregister' Jaarverslag 2013 | Commissie voor de bescherming van de persoonlijke levenssfeer 97 Commissie voor de bescherming van de persoonlijke levenssfeer Drukpersstraat 35 | B-1000 Brussel | T+32 (0)2 274 48 00 | E-mail commission@privacycommission.be | Website: http://www.privacycommission.be Kopiëren, geheel of gedeeltelijk, van deze brochure is toegestaan met vermelding van de bron en werkreferenties. Verantwoordelijke uitgever: W. Debeuckelaere Prepress en druk: Centrale drukkerij van de Kamer van volksvertegenwoordigers Er bestaat ook een Franse versie van dit jaarverslag. Il existe aussi une version française de ce rapport annuel. U kunt dit jaarverslag raadplegen of downloaden op de website van de Privacycommissie.