BELGISCHE SENAAT
________
Zitting 2017-2018
________
8 november 2017
________
SENAAT Schriftelijke vraag nr. 6-1626

de Rik Daems (Open Vld)

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________
Algemene verordening gegevensbescherming (AVG) - Inwerkingtreding - Ondernemingen en overheden - Aanduiding van functionarissen gegevensbescherming - Vereisten - Opleiding
________
eerbiediging van het privé-leven
informaticarecht
toegang tot de informatie
gegevensbescherming
doorgeven van informatie
persoonlijke gegevens
natuurlijke persoon
bewustmaking van de burgers
EU-recht
________
8/11/2017Verzending vraag
6/12/2017Antwoord
________
________
SENAAT Schriftelijke vraag nr. 6-1626 d.d. 8 november 2017 : (Vraag gesteld in het Nederlands)

Het Europees Parlement heeft op 14 april 2016 de regels goedgekeurd van de algemene verordening gegevensbescherming (hierna AVG genoemd) ofwel de general data protection regulation (GDPR), de nieuwe privacyverordening (cf. verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG). De publicatie volgde op 4 mei 2016.

Deze verordening harmoniseert de bestaande privacyregelgeving. Het nieuwe pakket maatregelen vervangt de privacyrichtlijn 95/46/EG, die sinds 1995 van kracht is en niet meer aansluit bij het huidige digitale tijdperk.

De verordening heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en om burgers meer controle te geven over het gebruik van hun persoonlijke gegevens.

Het brengt een aantal belangrijke veranderingen met zich mee. De AVG vormt een versterking van de gegevensbescherming voor de burgers :

– burgers zullen hun expliciete toestemming moeten geven alvorens bedrijven hun persoonlijke gegevens kunnen gebruiken ;

– het « recht om vergeten te worden » wordt opgenomen ;

– bedrijven kunnen worden gestraft met hoge boetes wanneer ze niet voldoen aan de bepalingen van de verordening ;

– bepaalde bedrijven zullen ook een « data protection officer » moeten aanstellen die moet toezien op de naleving van de nieuwe regelgeving.

De verordening heeft vanaf 25 mei 2018 rechtstreeks uitwerking en is dus, vanaf die datum, in de lidstaten van toepassing, zonder omzetting in nationale wetgeving.

In Nederland heerst er momenteel beroering over deze verordening. Bedrijven zijn naarstig op zoek naar privacy-experten. Volgens de nieuwe regels moet er een zogeheten functionaris « gegevensbescherming » worden aangeduid. Het zou alleen al voor Nederland enkele duizenden werknemers zijn. Alle overheidsorganen moeten er één aanduiden, alsook alle organisaties die werken met gevoelige persoonsgegevens, zoals ziekenhuizen. Het niet navolgen van de verordening leidt tot boetes en dit ingevolge de omkering van de bewijslast. De organisaties moeten aantonen dat ze zich aan de wet houden door vast te leggen met welke persoonsgegevens ze werken, waar deze vandaan komen en met wie ze worden gedeeld. Door de grote vraag zijn er heel wat mensen die zichzelf als privacy-expert uitroepen met alle gevolgen van dien.

Wat het transversale karakter van de vraag betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die zijn opgenomen in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit en de bescherming van de privacy. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik en het onderwijs.

Ik had dan ook volgende vragen :

1) In hoeverre zijn de verschillende overheden voorbereid op de inwerkingtreding van de AVG en dan meer specifiek wat betreft het aanduiden van een zogenaamde functionaris « gegevensbescherming » ? Om hoeveel mensen gaat het voor de federale overheid ?

2) Is er enig overleg met de deelentiteiten over het vastleggen van de vereisten waaraan deze privacytoezichthouders moeten voldoen en hebt u hieromtrent reeds vragen ontvangen ? Ervaart u dat er knelpunten zijn wat betreft de vereiste profielen ?

3) Waar kunnen bedrijven en overheden terecht om een duidelijk overzicht te krijgen van wat daadwerkelijk vereist is ingevolge de AVG ? Bestaat er een centrale website of digitaal informatielokket ? Zo neen, bent u bereid de oprichting hiervan, al of niet samen met de deelstaten, te onderzoeken ? Kunt u dit uitvoerig toelichten ?

4) Welke andere stappen overweegt u in het kader van de inwerkingtreding van de AVG om de inwerkingtreding vlot te laten verlopen? Kunt u dit toelichten ? Ik denk onder meer aan informatiecampagnes.

5) In hoeverre is er in overleg voorzien met de deelentiteiten over de kwaliteitsvereisten waaraan dergelijke privacy-experten moeten voldoen ? Welke opleiding moeten zij volgen ? Kunt u dit toelichten ?

Antwoord ontvangen op 6 december 2017 :

1), 2) & 5) De algemene verordening gegevensbescherming 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens zal in werking treden op 28 mei 2018. Deze verordening zal in de plaats komen van de huidige richtlijn 95/46 die niet meer overeenstemt met de huidige digitalisering van de maatschappij.

Dezelfde dag werd voor justitie en politie de richtlijn 2016/680 goedgekeurd, die uiterlijk op 6 mei 2018 moet worden omgezet. De verordening beoogt de harmonisering van de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en wil meer controle bieden aan de burgers over het gebruik van hun persoonsgegevens.

Volgens deze nieuwe regels moet in sommige situaties een functionaris voor de gegevensbescherming worden aangesteld. Die aanstelling is onder meer verplicht in de publieke sector. De rol van die functionaris voor de gegevensbescherming wordt gedefinieerd in de verordening zelf, evenals in de richtlijn.

Het gaat dus om de aanstelling van één of meerdere personen die de verwerkingsverantwoordelijke bijstaan bij het intern toezicht op de naleving van de regelgeving inzake gegevensbescherming. Die persoon kan een personeelslid zijn van de verwerkingsverantwoordelijke, die een bijzondere opleiding genoten heeft over de wetgeving en procedures inzake gegevensbescherming om zo een gespecialiseerde kennis op te bouwen binnen dit domein. Het vereiste niveau van gespecialiseerde kennis wordt onder meer bepaald in functie van de uitgevoerde gegevensverwerkingen en de vereiste bescherming van de persoonsgegevens die de verwerkingsverantwoordelijke verwerkt. Die persoon kan zijn functie voltijds of deeltijds uitoefenen. Een functionaris voor de gegevensbescherming kan eveneens aangesteld worden voor verschillende verwerkingsverantwoordelijken tegelijk, rekening houdende met de organisatiestructuur en omvang, bijvoorbeeld bij het delen van gegevensbronnen binnen één centrale entiteit of tussen verwerkingsverantwoordelijken. Die persoon kan eveneens aangesteld worden om verschillende functies te bekleden binnen de structuur van de betrokken verwerkingsverantwoordelijken. De functionarissen voor de gegevensbescherming zouden hun functies en opdrachten volledig onafhankelijk moeten kunnen uitoefenen in overeenstemming met de geldende wetgeving.

De functionaris voor de gegevensbescherming staat de verwerkingsverantwoordelijke en de werknemers die persoonsgegevens verwerken bij door ze te informeren en te adviseren over het naleven van de verplichtingen inzake de gegevensbescherming. De afgevaardigde voor de gegevensbescherming is eveneens het contactpunt voor de burger, maar ook voor de toezichthoudende autoriteit.

Naast voornoemde vereisten, laten de verordening en richtlijn een bepaalde marge aan de lidstaten en de verwerkingsverantwoordelijken.

Er is overleg met de verschillende sectoren en departementen binnen de overheidssector over de impact van de verordening en richtlijn, en in het bijzonder met betrekking tot de verschillende nieuwe verplichtingen die deze instrumenten opleggen. De deelstaten werden hier eveneens bij betrokken. Er worden op deze overlegvergaderingen inderdaad veel vragen gesteld over de functionaris voor de gegevensbescherming. Hoewel deze functie reeds voorzien was in de huidige privacywet van 8 december 1992, werd deze bepaling echter nooit uitgevoerd. Ik begrijp dan ook dat er vandaag veel aandacht gaat naar deze verplichting. De federale administraties kennen wel de functie van informatieveiligheidsadviseur, maar moeten hun werking aanpassen door de komst van een nieuw profiel, want de functionaris voor de gegevensbescherming kan niet gelijkgesteld worden met een informatieveiligheidsadviseur.

Sommige overheidsdiensten hebben reeds voldaan aan deze verplichting. Dit is het geval voor de federale politie, de federale overheidsdienst (FOD) Financiën en bij de toepassing van de wet PNR (Passenger Name Record).

Hoewel deze verplichting zal moeten toegepast worden in de ganse overheidssector heeft de regering ervoor geopteerd om geen profiel veralgemeend vast te leggen voor de functionaris van de gegevensbescherming gezien de grote verschillen qua omvang en organisatie (ministerie vs. FOD) van de verschillende overheidsdiensten.

Er moet voldoende bewegingsvrijheid gelaten worden aan elke organisatie om zo goed mogelijk te beantwoorden aan de behoeften van zijn eigen administratie. Bijgevolg is het niet mogelijk om te bepalen hoeveel personen er moeten aangesteld worden binnen de overheidsinstellingen. Naargelang de organisatie kunnen de functionarissen voor de gegevensbescherming ook voltijds of deeltijds aangesteld worden of zelfs voor verschillende departementen tegelijk.

3) & 4) Met de grotere aandacht voor de gegevensbescherming en de nieuwe reglementering stijgt het aantal opleidingen en informatiesessies. Verschillende organisaties hebben reeds brochures gepubliceerd en websites opgesteld om hun leden en de burger zo goed mogelijk te informeren. Het is dus vanaf nu aan elke verwerkingsverantwoordelijke om zo duidelijk en beknopt mogelijk te informeren over de rechten en procedures die elke betrokken persoon heeft ten opzichte van de verwerking van zijn persoonsgegevens. De nieuwe Gegevensbeschermingsautoriteit die de Privacycommissie vervangt, heeft ook als één van de voornaamste bevoegdheden de ondernemingen en overheidsdiensten te begeleiden en de burger te informeren.

De huidige Privacycommissie neemt ook in deze overgangsperiode initiatieven om het publiek en de jongeren te sensibiliseren, in het bijzonder met een campagne onder de naam « Je décide / Ik beslis » waarvan de inhoud toegankelijk is via de website van de Privacycommissie.

Ook binnen mijn kabinet en mijn administratie wordt deze sensibiliseringstaak ter harte genomen. Zo kan ik rekenen op het overlegplatform privacy dat is opgericht en waarin de vertegenwoordigers van de sectorfederaties en het maatschappelijk middenveld zetelen. Dit is ook het opzet van het platform, met name in dialoog gaan met de sectoren en het maatschappelijk middenveld om te luisteren naar hun bezorgdheden, samen maatregelen nader te bekijken en de nodige begeleiding te bieden aan de ondernemingen om ook de kansen te benutten van de beschermingsmaatregelen, dankzij duidelijke informatie over hun rechten en plichten.

Tot slot bezoek ik ook regelmatig sectorfederaties of andere bedrijfsgroepen om hen over de inwerkingtreding van de nieuwe wetgeving in mei 2018 te sensibiliseren, zodat ze zich zo spoedig mogelijk zouden conformeren met de nieuwe regelgeving en zo de rechten van de betrokkenen optimaal beschermen.