Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 4-1243

van Wouter Beke (CD&V N-VA) d.d. 11 juli 2008

aan de vice-eersteminister en minister van Sociale Zaken en Volksgezondheid

Opslag van gegevens - Aanwending van buitenlandse servers (door de federale overheidsdiensten)

uitwisseling van informatie
computercriminaliteit
gegevensbescherming
Eurojust
EU-recht
informatiedienstverlening
gegevensbank
agentschap in het buitenland
internationaal recht

Chronologie

11/7/2008 Verzending vraag (Einde van de antwoordtermijn: 18/8/2008 )
12/9/2008 Antwoord

Ook gesteld aan : schriftelijke vraag 4-1241
Ook gesteld aan : schriftelijke vraag 4-1242
Ook gesteld aan : schriftelijke vraag 4-1244
Ook gesteld aan : schriftelijke vraag 4-1245
Ook gesteld aan : schriftelijke vraag 4-1246
Ook gesteld aan : schriftelijke vraag 4-1247
Ook gesteld aan : schriftelijke vraag 4-1248
Ook gesteld aan : schriftelijke vraag 4-1249
Ook gesteld aan : schriftelijke vraag 4-1250
Ook gesteld aan : schriftelijke vraag 4-1251
Ook gesteld aan : schriftelijke vraag 4-1252
Ook gesteld aan : schriftelijke vraag 4-1253
Ook gesteld aan : schriftelijke vraag 4-1254
Ook gesteld aan : schriftelijke vraag 4-1255

Vraag nr. 4-1243 d.d. 11 juli 2008 : (Vraag gesteld in het Nederlands)

De controle op en de inbeslagname van gegevens op buitenlandse servers is vooral een zaak van communautair en internationaal recht.

Op Europees vlak bestaan er diverse samenwerkingsvormen (bijvoorbeeld Eurojust) en werd er reeds wetgeving uitgevaardigd om gemakkelijker gegevens uit te wisselen en om onderzoeksmaatregelen op het grondgebied van een andere Lidstaat uit te kunnen voeren.

Voor wat betreft staten buiten de Europese Unie bestaan er veel minder mogelijkheden om gegevens uit te wisselen en om onderzoeksmaatregelen op het grondgebied van de Staat uit te voeren. Hierbij kan bijvoorbeeld gedacht worden aan de inbeslagname van gegevens die zich op een buitenlandse server bevinden in het kader van cybercriminaliteit, kinderpornografie, fiscale fraude, ... Hierbij blijkt dat de nationale controle-instanties en de justitiŽle diensten nog vaak op juridische en/of praktische problemen stoten om een daadwerkelijk controle uit te oefenen of om informatie, eventueel via onderzoeksmaatregelen of inbeslagname, in te winnen.

Echter, ook de overheid kan een doelwit vormen voor malafide personen die overheidsgegevens wensen te misbruiken.

Om voorgaande reden had ik graag een antwoord gehad op de volgende vragen :

1.) Wordt er binnen het departement van de geachte minister gebruik gemaakt van buitenlandse servers voor het opslaan van gegevens ?

2.) Kan een overzicht gegeven worden van deze buitenlandse servers naar oorsprong ?

3.) Welke gegevens worden er opgeslagen op deze servers ?

4.) Op welke wijze kan de administratie een toegang tot deze buitenlandse server juridisch afdwingen indien de toegang wordt geweigerd ?

5.) Op welke wijze heeft de administratie een controlemogelijkheid met betrekking tot het respecteren van de confidentialiteit van deze gegevens ?

Antwoord ontvangen op 12 september 2008 :

Als antwoord op uw vraag heb ik de eer u mee te delen wat hier volgt.

De Rijksdienst voor pensioenen en de Pensioendienst voor de Overheidssector maken geen gebruik van buitenlandse servers voor het opslaan van gegevens.

De FOD Volksgezondheid, Veiligheid van de voedselketen en Leefmilieu (FOD VVVL) is slechts eigenaar van een register waarvan de gegevens en de toepassing om deze gegevens te manipuleren worden gehost in het buitenland, namelijk het Kyotoregister. De antwoorden op de gestelde vragen voor het Kyotoregister vindt u hieronder. Daarnaast draagt de FOD VVVL inhoudelijk bij tot de gegevens opgeslagen in verschillende registers (Wereldgezondheidsorganisatie — WGO, European Centre for Disease Prevention and Control — ECDC) in het buitenland, maar wij zijn geen eigenaar (bijvoorbeeld verschillende early warning systems medisch, crisis, ramp, surveillance, enz.).

Kyotoregister

1. Het register voor broeikasgassen wordt bijgehouden op een redundante serverconfiguratie in twee verschillende en beveiligde datacenters in Berlijn. De servers worden bijgehouden door COLT Telekom GmbH en onderhouden door dr. Lippke en dr. Wagner GmbH. De exacte locatie van de datacenters van COLT Telekom kan omwille van veiligheidsredenen niet vrijgegeven worden. De registeradministrateur krijgt regelmatig back-ups van applicatie en gegevens op een elektronische drager. Deze back-ups worden op een beveiligde locatie in Brussel bijgehouden.

2. Er worden in totaal tien servers bijgehouden gefabriceerd door Hewlett-Packard.

3. Er worden drie type servers beheerd en bijgehouden in Berlijn :

— webservers die de internettoegang tot de toepassing verzekeren;

— applicatie servers waarop de registersoftware draait;

— database servers die de gegevens (emissierechten en rekeningen) van het Belgische register voor broeikasgassen bijhouden.

4. De registeradministrateur heeft een contractueel vastgelegd en juridisch afdwingbaar toegangsrecht tot de hardwareomgeving ten aanzien van COLT Telekom GmbH. Alle vragen tot toegang zijn tot op heden onmiddellijk ingewilligd door COLT Telekom GmbH.

5. COLT Telekom GmbH, is ISO/IEC 27001 gecertificeerd. Dit is een internationaal erkende ICT beveiligingsstandaard voor organisaties die kritische ICT opdrachten vervullen. De certificatie wordt toegekend na een grondige doorlichting van de bedrijfsvoering en veiligheidsprocedures. COLT Telekom GmbH en dr. Lippke und dr. Wagner GmbH hebben contractueel vastgelegde en juridisch afdwingbare confidentialiteitsverplichtingen. De fysieke en digitale toegang tot de omgeving is beperkt tot een lijst van gemachtigde personen. Alle toegangen tot de omgeving (on site en off site) en tot de registerapplicatie worden systematisch bijgehouden.

Wat de FOD Sociale Zekerheid betreft, deze is slechts eigenaar van een register (FIN-S).

1. Voor één informaticatoepassing FIN-S bevindt de server zich in het buitenland.

2. De productieserver voor de FIN-S toepassing bevindt zich in Essen in Duitsland.

3. De gegevens die op deze server worden opgeslagen zijn de boekhoudkundige en budgettaire gegevens, meer bepaald de kredieten, de vastleggingen, de ordonnanceringen en leveranciersgegevens.

4. De exploitatieovereenkomst met CEGEKA bepaalt expliciet dat de FOD Sociale Zekerheid eigenaar is van de opgeslagen gegevens. Dagelijks worden back-ups genomen en de back-up gegevens worden bewaard in verschillende datacenters. Er zijn ernstige boeteclausules bij niet beschikbaarheid van de betreffende server.

5. De exploitatieovereenkomst met CEGEKA bevat regels met betrekking tot de beveiliging van de gegevens. CEGEKA is contractueel tot geheimhouding verplicht met betrekking tot alle gegevens van de FOD Sociale Zekerheid. Er is geen enkele mededeling van informatie aan derden toegestaan.