Logo Parlement Buxellois

Schriftelijke vraag betreffende de impact van de Data Protection Officer (DPO) en de Algemene Verordening Gegevensbescherming (AVG) op de gewestelijke instellingen

Indiener(s)
Emin Özkara
aan
Alain Maron, minister van de Brusselse Hoofdstedelijke Regering, belast met Klimaattransitie, Leefmilieu, Energie en Participatieve democratie (Vragen nr 106)

 
Datum ontvangst: 20/12/2019 Datum publicatie: 13/02/2020
Zittingsperiode: 19/24 Zitting: 19/20 Datum antwoord: 12/02/2020
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
13/01/2020 Ontvankelijk p.m.
 
Vraag    De bescherming van persoonsgegevens is een van de grootste uitdagingen van onze democratische samenlevingen met een hoge mate van connectiviteit. In het punt "Een "Smart City"-ambitie voor Brussel" stelt de algemene beleidsverklaring (zittingsperiode 2019-2024) het volgende "De Regering steunt een “open data-beleid” voor openbare gegevens, dat erop gericht is oplossingen te ontwikkelen voor de samenleving (e-gezondheid, mobiliteit, bestuur enz.). Zij zal ook haar steun toezeggen aan slimme systemen die de privacy respecteren en een heuse maatschappelijke, ecologische en economische meerwaarde inhouden voor de opdrachten die het Gewest moet vervullen op het vlak van mobiliteit, afvalverwerking, het beheer van bouwplaatsen, enz.".
Zoals u weet is het onder de AVG in bepaalde omstandigheden verplicht een “GEB” (DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen (). Om die reden wens ik vandaag, 19 december 2019, terug te komen op deze uiterst belangrijke aangelegenheid met betrekking tot de persoonlijke levenssfeer.
Ik wens u dus, in uw hoedanigheid van minister van de Brusselse Hoofdstedelijke Regering (BHR), belast met Klimaattransitie, Leefmilieu, Energie en Participatieve Democratie, de volgende vragen te stellen:
1. Voldoet uw kabinet ten volle aan de vereisten van de AVG en beschikt het over een DPO?
2. Welke gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen voldoen thans niet ten volle aan de vereisten van de AVG en/of beschikken niet over een DPO?
3. Werd een lijst opgesteld met de DPO’s van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen? Zijn de gegevens van de DPO ter beschikking van het publiek?
Voor ELK van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen, wens ik u de volgende bijkomende vragen te stellen:
4. Worden gevoelige gegevens verwerkt? Zo ja, is er een register van verwerkingsactiviteiten beschikbaar voor deze ''gevoelige'' gegevens?
5. Werd een gegevensbeschermingseffectbeoordeling (GEB) verricht? Zo ja, wanneer, hoe vaak en voor welke gegevensverwerkingen?
Gegevensbeschermingsautoriteit, “Gegevensbeschermingseffectbeoordeling”,
https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, geraadpleegd op 19 december 2019.
 
 
Antwoord    1) Beantwoordt uw kabinet volledig aan de eisen van de AVG en beschikt het over een DPO?

De kabinetten van Alain Maron en Barbara Trachte beantwoorden nog niet aan de eisen van de AVG. Wij hebben deelgenomen aan de informatievergadering die in de loop van november 2019 is georganiseerd. De bepalingen van de Gewestelijke Overheidsdienst Brussel (GOB) voorzien niet in een specifieke DPO voor de kabinetten. De DPO is verbonden aan de GOB. Overeenkomstig de bepalingen opgesteld door de GOB, hebben wij een Data Steward aangewezen. De Data Steward zal binnenkort (in de loop van februari) de DPO ontmoeten om het gegevensverwerkingsregister en de specifieke AVG-processen te lanceren: beheer van schendingen van persoonsgegevens, gegevensbeschermingseffectbeoordeling (GEB), uitoefening van de rechten van de betrokkenen.

2) Welke gewestelijke instellingen die onder uw bevoegdheden vallen of onder uw toezicht staan, beantwoorden momenteel niet volledig aan de eisen van de AVG en/of beschikken niet over een DPO?

Leefmilieu Brussel
Leefmilieu Brussel heeft een DPO en verbindt zich ertoe de bepalingen inzake gegevensbescherming die op hem van toepassing zijn, na te leven. De naleving van de conformiteit is een doorlopende taak die wordt uitgevoerd door de leden van de administratie, ondersteund door juridische en IT-deskundigen.

Haven van Brussel
Om te voldoen aan de verplichting om een functionaris voor gegevensbescherming (hierna ‘DPO’ genoemd) te benoemen, zoals bepaald in artikel 37 van de algemene verordening inzake gegevensbescherming (AVG), heeft de Haven van Brussel, in zijn hoedanigheid van overheidsinstantie, deze functie intern toegewezen vanaf mei 2018. Bij de indiensttreding van de informatiebeheerder in januari 2019, is de DPO-functie aan haar overgedragen. Zowel bij de eerste benoeming als bij de overdracht van de functie is de Gegevensbeschermingsautoriteit (GBA) op de hoogte gebracht via het elektronische formulier dat beschikbaar is op haar website, alsook via een brief.

Aangezien de naleving van de AVG-eisen een doorlopend proces is en geen afgerond/af te ronden project, stelt de Haven van Brussel alles in het werk om aan deze eisen te voldoen en om de verwerking of de voorwaarden voor de verwerking van de persoonsgegevens zo nodig te corrigeren.

BRUGEL
BRUGEL heeft meerdere maatregelen genomen om aan de AVG-eisen te voldoen. Sinds 2018 doet het met name een beroep op de diensten van verschillende consultants, PWC (ondersteuning bij het in overeenstemming brengen van BRUGEL), UPTIME ICT - INFOSENTRY (functies van DPO en informatiebeveiligingsadviseur) en het CIBG (IT-audit).

Agentschap Net Brussel
In 2017 is het Agentschap begonnen met een project om in overeenstemming te zijn met de AVG. Het project is in juni 2018 afgerond. In datzelfde jaar is een functionaris voor gegevensbescherming aangesteld.

Voor ELK van de gewestelijke instellingen die onder uw bevoegdheden vallen of onder uw toezicht staan, wil ik u graag de volgende aanvullende vragen stellen:

3) Is er een kadaster opgesteld van de DPO’s van de gewestelijke instellingen die onder uw bevoegdheden vallen of onder uw toezicht staan? Zijn de contactgegevens van de DPO’s beschikbaar voor het publiek?

Leefmilieu Brussel
Er is geen kadaster opgesteld omdat de wetgeving daarin niet voorziet. De contactgegevens van de DPO worden bij elke gegevensverzameling meegedeeld en staan ook vermeld op de website van Leefmilieu Brussel.

Brusselse Maatschappij voor Waterbeheer
• Het kadaster valt niet onder de verantwoordelijkheid van de BMWB
• De contactgegevens van de DPO’s zijn voor het publiek beschikbaar op de website (en andere gegevensverzamelingsformulieren)

Er is een bepaald aantal maatregelen genomen om de BMWB aan de eisen te laten voldoen:
· Sensibilisering van het personeel via verschillende media: intranet, brochure voor nieuwe medewerkers, enz.
· Opstelling van het register en van de verwerkingsfiches
· GEB-verantwoording en -methode
· Procedure voor het beheer van schendingen en tools voor een effectbeoordeling
· Beheer van verzoeken van betrokkenen
· Invoering van andere informatiebeveiligingsmaatregelen: inkoopproces, enz.
· Documentatie (formalisering) van de bestaande controles.
· Een DPO
· Enz.

Haven van Brussel
Er zijn verschillende werkgroepen en denktanks opgericht, waaronder het ‘DPO/ISA-kenniscentrum’ van het CIBG, dat alleen openstaat voor personen met een rol als DPO en/of informatiebeveiligingsadviseur binnen hun instelling. Deze groep brengt leden van gewestelijke, maar ook gemeentelijke of politie-instanties samen. De Haven van Brussel wordt er vertegenwoordigd door zijn DPO.

BRUGEL
BRUGEL heeft nota’s over het privéleven opgesteld. Ze zullen heel binnenkort op de BRUGEL-website worden gepubliceerd. Ze bevatten onder meer de contactgegevens van de DPO van BRUGEL.

Agentschap Net Brussel
Voor het Agentschap zijn de contactgegevens van de DPO opgenomen in de privacyverklaring van het Agentschap, die is gepubliceerd in het gedeelte 'Wettelijke vermeldingen' van de openbare website.

4) Worden er zogenaamde gevoelige gegevens verwerkt? Zo ja, is er een register van de verwerkingsactiviteiten voor deze zogenaamde gevoelige gegevens beschikbaar?

Leefmilieu Brussel
Uw vraag lijkt betrekking te hebben op de gegevens bedoeld in de artikelen 9 en 10 van de AVG.
De genoemde verordening voorziet ook in het bijhouden van een register van de verwerkingsactiviteiten (artikel 30), ongeacht het soort gegevens dat wordt verwerkt.
In deze context houdt Leefmilieu Brussel een register van zijn verwerkingsactiviteiten bij.

Brusselse Maatschappij voor Waterbeheer
· Ja, er worden gevoelige gegevens verwerkt.
· Ja.

Haven van Brussel
De Haven van Brussel verwerkt inderdaad ‘gevoelige’ gegevens. Ook al behoort het niet tot de kernactiviteiten, toch worden dergelijke gegevens verwerkt in het kader van bepaalde procedures die hoofdzakelijk door een wettelijke verplichting worden opgelegd. Deze procedures hebben betrekking op:
- het beheer van de human resources;
- de gunning van overheidsopdrachten.

De Haven van Brussel houdt een register bij van de verwerkingen van persoonsgegevens. Dat vermeldt de categorie van de verwerkte gegevens (normaal of speciaal, om de termen van de AVG te gebruiken).
Dit register is beschikbaar onder de voorwaarden vermeld in de AVG, d.w.z. dat het op verzoek beschikbaar is voor de toezichthoudende autoriteit - de Gegevensbeschermingsautoriteit (GBA) (zie artikel 30.4 van de AVG).

BRUGEL
BRUGEL verwerkt zogenaamde gevoelige gegevens.
BRUGEL heeft een register van zijn verwerkingsactiviteiten opgesteld. Dit document is goedgekeurd door de DPO in functie.

Agentschap Net Brussel
Voor alle verwerkingen van persoonsgegevens is een register van de verwerking van persoonsgegevens opgesteld.

5) Is er een gegevensbeschermingseffectbeoordeling (GEB) gerealiseerd? Zo ja, wanneer, met welke frequentie en voor welke gegevensverwerkingen?

Leefmilieu Brussel
Er loopt momenteel een effectbeoordeling voor de gegevensverwerking die door de Regionale Cel voor Interventie bij Binnenluchtvervuiling wordt uitgevoerd.

Brusselse Maatschappij voor Waterbeheer
Momenteel wordt er een effectbeoordeling uitgevoerd. Die steunt op de volgende aanpak:
Voor elke verwerkingsfiche (16) wordt de GEB verantwoord. Deze verantwoording maakt het al mogelijk om het niet-noodzakelijke karakter van de GEB uit te sluiten en te documenteren. Er zijn inderdaad verwerkingsoperaties, ondanks het soort gegevens dat wordt verwerkt, waarvoor geen GEB nodig is (bv. beheer van opleidingen). Het is de bedoeling om deze actie af te ronden in 2020.
Voor nieuwe of gewijzigde verwerkingsactiviteiten wordt in de documentatie toegelicht wanneer dit moet gebeuren. Deze moet worden geïntegreerd in de werk- en projectbeheermethode voor nieuwe verwerkingen.

Haven van Brussel
In overeenstemming met de vereisten van de AVG (artikel 35) en de aanbevelingen van de GBA (https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0) en de CNIL (Franse toezichthoudende autoriteit - https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd) zijn voor de eerste helft van 2020 twee GEB’s gepland met betrekking tot verwerkingen die dit soort analyses vereisen. Deze zullen worden geactualiseerd telkens wanneer dit vereist is vanwege een verandering die gevolgen heeft voor de betrokken verwerkingen (nieuwe technologie, nieuw proces, enz.).

Het is uiteraard niet uitgesloten dat andere GEB's aan de agenda worden toegevoegd naar aanleiding van ontwikkelingen in de verwerking van persoonsgegevens.

Net als het register zullen deze analyses in voorkomend geval ter beschikking van de GBA worden gesteld.

BRUGEL
De GEB-analyse voor de verwerking van persoonsgegevens met betrekking tot beschermde afnemers, klachten en de Greenbox met betrekking tot hernieuwbare energie - die door BRUGEL worden verwerkt - wordt momenteel uitgevoerd. Voor de Energy Reporting Tool is in de loop van 2019 al een lichte GEB uitgevoerd.

Agentschap Net Brussel
De verwerking van persoonsgegevens die aan een GEB kunnen worden onderworpen, vloeit voort uit de wettelijke verplichtingen van het Agentschap. Rekening houdend met artikel 35 van de AVG, dat het ANB vrijstelt van de verplichting om een GEB voor deze gegevensverwerkingsoperaties uit te voeren, is er voor het Agentschap geen GEB uitgevoerd of gepland.