Logo Parlement Buxellois

Schriftelijke vraag betreffende de impact van de Data Protection Officer (DPO) en de Algemene Verordening Gegevensbescherming (AVG) op de gewestelijke instellingen

Indiener(s)
Emin Özkara
aan
Elke Van den Brandt, minister van de Brusselse Hoofdstedelijke Regering, belast met Mobiliteit, Openbare werken en Verkeersveiligheid (Vragen nr 161)

Rubriek(en):
 
Datum ontvangst: 20/12/2019 Datum publicatie: 12/02/2020
Zittingsperiode: 19/24 Zitting: 19/20 Datum antwoord: 12/02/2020
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
13/01/2020 Ontvankelijk p.m.
 
Vraag    De bescherming van persoonsgegevens is een van de grootste uitdagingen van onze democratische samenlevingen met een hoge mate van connectiviteit. In het punt "Een "Smart City"-ambitie voor Brussel" stelt de algemene beleidsverklaring (zittingsperiode 2019-2024) het volgende "De Regering steunt een “open data-beleid” voor openbare gegevens, dat erop gericht is oplossingen te ontwikkelen voor de samenleving (e-gezondheid, mobiliteit, bestuur enz.). Zij zal ook haar steun toezeggen aan slimme systemen die de privacy respecteren en een heuse maatschappelijke, ecologische en economische meerwaarde inhouden voor de opdrachten die het Gewest moet vervullen op het vlak van mobiliteit, afvalverwerking, het beheer van bouwplaatsen, enz.".
Zoals u weet is het onder de AVG in bepaalde omstandigheden verplicht een “GEB” (DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen (). Om die reden wens ik vandaag, 19 december 2019, terug te komen op deze uiterst belangrijke aangelegenheid met betrekking tot de persoonlijke levenssfeer.
Ik wens u dus, in uw hoedanigheid van minister van de Brusselse Hoofdstedelijke Regering (BHR), belast met Mobiliteit, Openbare Werken en Verkeersveiligheid, de volgende vragen te stellen:
1. Voldoet uw kabinet ten volle aan de vereisten van de AVG en beschikt het over een DPO?
2. Welke gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen voldoen thans niet ten volle aan de vereisten van de AVG en/of beschikken niet over een DPO?
3. Werd een lijst opgesteld met de DPO’s van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen? Zijn de gegevens van de DPO ter beschikking van het publiek?
Voor ELK van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen, wens ik u de volgende bijkomende vragen te stellen:
4. Worden gevoelige gegevens verwerkt? Zo ja, is er een register van verwerkingsactiviteiten beschikbaar voor deze ''gevoelige'' gegevens?
5. Werd een gegevensbeschermingseffectbeoordeling (GEB) verricht? Zo ja, wanneer, hoe vaak en voor welke gegevensverwerkingen?
Gegevensbeschermingsautoriteit, “Gegevensbeschermingseffectbeoordeling”,
https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, geraadpleegd op 19 december 2019.
 
 
Antwoord   

De conformering van de kabinetten aan de vereisten van de AVG is lopende. De ministeriële kabinetten beschikken over een DPO via een overheidsopdracht die op initiatief van de GOB werd uitgeschreven. De huidige DPO heet Jean-Pierre Heymans en kan worden gecontacteerd op het e-mailadres

DPO@gob.brussels

. De ministeriële kabinetten beschikken over een eigen register van verwerkingsactiviteiten. Het behouden van de conformering aan de AVG is een voortdurende bezigheid. De DPO van de GOB begeleidt hen daarom in hun traject.
AVG is een voortdurende bezigheid. De besturen van de GOB, talent en urban beschikken over een eigen DPO. De besturen van de GOB beschikken ook over een eigen register van verwerkingsactiviteiten en blijven nieuwe tools en procedures ontwikkelen die nodig zijn voor het in stand houden van de conformiteit. De DPO van de GOB bezit dergelijke informatie niet. Het kabinet van de minister-president heeft in de vorige en huidige regeerperiode echter een aanbeveling geformuleerd waarin onder meer de noodzaak aan bod kwam om de conformiteit aan de AVG te bestuderen van de instellingen die onder de bevoegdheden of de voogdij van verschillende kabinetten vallen. Brussel Mobiliteit maakt deel uit van de GOB. Die laatste beantwoord aan de AVG-vereisten en beschikt over een Data Protection Officer. Elk bestuur heeft normaliter een Data Steward die de tussenpersoon is tussen de DPO en zijn/haar bestuur. Momenteel wordt een Data Steward aangeworven voor Brussel Mobiliteit. De MIVB en parking.brussels hebben beiden een DPO aangesteld.
De DPO van de GOB is niet op de hoogte van het bestaan van een dergelijk kadaster. De terbeschikkingstelling van de gegevens van de DPO aan het publiek hangt af van elk kabinet afzonderlijk. De DPO van de GOB weet niet of de kabinetten zijn gegevens op hun websites hebben gepubliceerd. De DPO ontmoet momenteel elk kabinet afzonderlijk en de publicatie van zijn gegevens maakt deel uit van de aanbevelingen.

De GOB, zijn besturen, Urban.brussels en Talent.brussels beschikken over een en dezelfde DPO. Zijn gegevens zijn openbaar toegankelijk en staan op de volgende webpagina

https://overheidsdienst.brussels/privacybeleid.

Zoals eerder vermeld, heeft de DPO geen zicht op de gewestelijke instellingen die onder de bevoegdheden of de voogdij van de verschillende kabinetten vallen. Die instellingen beschikken namelijk over een eigen DPO. Het register van de kabinetten wordt momenteel opgesteld door de Data Stewards van die kabinetten. De DPO kan dus nu nog niet bepalen of ze zogenaamde gevoelige gegevens verwerken.

Gevoelige gegevens worden over het algemeen verwerkt wanneer de opdracht van het betreffende bestuur en het doeleinde van de betreffende verwerking vereisen dat dit type gegevens wordt verwerkt. Het register van verwerkingsactiviteiten dat de besturen van de GOB bijhouden, geeft aan wanneer een verwerking betrekking heeft op gevoelige gegevens. Deze gevoelige gegevens worden dan opgenomen in de registers en hun bewaartermijn wordt steeds uitdrukkelijk vermeld.
Brussel Mobiliteit en de MIVB verwerken persoonsgegevens. Bij beide bestaat er een register van de verwerkingen van deze gegevens. Parking.brussels verwerkt geen zogenaamde gevoelige gegevens.
Bij de GOB werden alle verwerkingen geëvalueerd door de DPO, om te bepalen of een impactanalyse (hierna "PIA") nodig is aan de hand van de in de AVG vastgelegde criteria, de criteria van groep 29 en de aanbevelingen van de Gegevensbeschermingsautoriteit. De geconsolideerde lijst met verwerkingen voor de GOB waarvoor een PIA nodig is, zal begin 2020 worden afgerond. De prioriteit van de GOB, in het kader van de verwezenlijking van impactanalyses, bestaat erin de desbetreffende verwerkingen te analyseren die na 25 mei 2018 dateerden of die sinds deze datum werden gewijzigd. Naast de invoering van een procedure voor de systematische uitvoering van een PIA, heeft de GOB tezelfdertijd impactanalyses opgestart voor alle in de ogen van de DPO nieuwe kritieke processen.
De effectbeoordeling binnen de GOB vindt momenteel plaats. Dit gebeurt met behulp van een nieuwe tool, One Trust genaamd. Voor wat betreft de MIVB wordt elke behandeling die een verhoogd risico inhoudt voor de betrokken personen onderworpen aan een impactanalyse van de bescherming van gegevens. Tenslotte voor wat betreft Parking wordt er telkens wanneer een nieuwe verwerking van persoonsgegevens in overweging wordt genomen, een GEB uitgevoerd.