Schriftelijke vraag betreffende de impact van de Data Protection Officer (DPO) en de Algemene Verordening Gegevensbescherming (AVG) op de gewestelijke instellingen
- Indiener(s)
- Emin Özkara
- aan
- Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 63)
| Datum ontvangst: 20/12/2019 | Datum publicatie: 06/02/2020 | ||
| Zittingsperiode: 19/24 | Zitting: 19/20 | Datum antwoord: 06/02/2020 | |
| Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
| 13/01/2020 | Ontvankelijk | p.m. |
| Vraag | De bescherming van persoonsgegevens is een van de grootste uitdagingen van onze democratische samenlevingen met een hoge mate van connectiviteit. In het punt "Een "Smart City"-ambitie voor Brussel" stelt de algemene beleidsverklaring (zittingsperiode 2019-2024) het volgende "De Regering steunt een “open data-beleid” voor openbare gegevens, dat erop gericht is oplossingen te ontwikkelen voor de samenleving (e-gezondheid, mobiliteit, bestuur enz.). Zij zal ook haar steun toezeggen aan slimme systemen die de privacy respecteren en een heuse maatschappelijke, ecologische en economische meerwaarde inhouden voor de opdrachten die het Gewest moet vervullen op het vlak van mobiliteit, afvalverwerking, het beheer van bouwplaatsen, enz.". Zoals u weet is het onder de AVG in bepaalde omstandigheden verplicht een “GEB” (DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen (). Om die reden wens ik vandaag, 19 december 2019, terug te komen op deze uiterst belangrijke aangelegenheid met betrekking tot de persoonlijke levenssfeer. Ik wens u dus, in uw hoedanigheid van minister van de Brusselse Hoofdstedelijke Regering (BHR), belast met Werk en Beroepsopleiding, Digitalisering, de Plaatselijke Besturen en Dierenwelzijn, de volgende vragen te stellen: 1. Voldoet uw kabinet ten volle aan de vereisten van de AVG en beschikt het over een DPO? 2. Welke gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen voldoen thans niet ten volle aan de vereisten van de AVG en/of beschikken niet over een DPO? 3. Werd een lijst opgesteld met de DPO’s van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen? Zijn de gegevens van de DPO ter beschikking van het publiek? Voor ELK van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen, wens ik u de volgende bijkomende vragen te stellen: 4. Worden gevoelige gegevens verwerkt? Zo ja, is er een register van verwerkingsactiviteiten beschikbaar voor deze ''gevoelige'' gegevens? 5. Werd een gegevensbeschermingseffectbeoordeling (GEB) verricht? Zo ja, wanneer, hoe vaak en voor welke gegevensverwerkingen? Gegevensbeschermingsautoriteit, “Gegevensbeschermingseffectbeoordeling”, https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, geraadpleegd op 19 december 2019. |
| Antwoord | Wat dierenwelzijn betreft, leeft het Departement Dierenwelzijn, dat organiek afhangt van Leefmilieu Brussel, na wat het Instituut toepast. Leefmilieu Brussel beschikt over een DPO en verbindt zich ertoe de gegevensbeschermende bepalingen die voor Leefmilieu Brussel van toepassing zijn, na te leven. Er werd geen kadaster aangelegd, omdat de wetgeving dat niet voorziet. De contactgegevens van de DPO worden bij elke verzameling van gegevens meegedeeld en staan eveneens vermeld op de website van Leefmilieu Brussel. Leefmilieu Brussel houdt wel een register bij met zijn verwerkingsactiviteiten overeenkomstig artikel 30 van de verordening. Tot nog toe werd geen enkele analyse over de impact van deze materie uitgevoerd. De GOB, waarvan Brussel Plaatselijke Besturen en Brussel Economie en Tewerkstelling deel uitmaken, wordt voor bepaalde aspecten, en met name voor alle aspecten met betrekking tot de gegevensbescherming en de desbetreffende verordening, wordt beschouwd als één entiteit. Brussel Plaatselijke Besturen en Brussel Economie en Tewerkstelling hebben dan ook geen eigen informatie in verband met uw vraag. Ik nodig u desgevallend uit uw vraag te richten tot de Minister die belast is met het Openbaar Ambt, Mijnheer Gatz. Wat mijn bevoegdheid Digitalisering betreft, ik heb de eer u de volgende antwoorden te geven : 1. De kabinetten zetten zich momenteel in regel met de vereisten van de AVG. De ministeriële kabinetten beschikken over een DPO via een overheidsopdracht uitgeschreven op initiatief van de GOB. De huidige DPO is Jean-Pierre Heymans, en kan worden gecontacteerd op het volgende e-mailadres : DPO@sprb.brussels. De ministeriële kabinetten beschikken over hun eigen register van gegevensverwerkingen. De permanente inachtneming van de AVG is een voortdurende opdracht. De DPO GOB begeleidt hen bij deze opdracht. 2. Het principe zelf van de AVG is dat de toepassing ervan voortvloeit uit een verplichting onder de directe verantwoordelijkheid van verschillende instellingen. Het is voor mij dus moeilijk om te antwoorden in naam van alle instellingen die niet rechtstreeks van mij afhangen. Echter, wat betreft de besturen die mij aanbelangen, kan ik u zeggen dat zowel het CIBG, Actiris als de GOB alle door de AVG vereiste procedures hebben ingevoerd. Het is echter belangrijk de aandacht te vestigen op het feit dat het gaat om een permanent proces van aanpassing en verbetering in functie van de evolutie van de besturen. 3. De DPO van de GOB is niet op de hoogte van het bestaan van een dergelijk kadaster. Het beschikbaar stellen van de contactgegevens van de DPO voor het publiek, hangt af van elk kabinet. De DPO van de GOB weet niet of de kabinetten de contactgegevens van de DPO op hun website hebben gepubliceerd. De DPO ontmoet op dit ogenblik elk kabinet afzonderlijk en de publicatie van zijn gegevens is één van de aanbevelingen. De GOB, diens besturen, Urban.brussels en Talent.brussels beschikken over één en dezelfde DPO. Zijn contactgegevens zijn openbaar en kunnen gevonden worden op volgend adres : https://servicepublic.brussels/politique_confidentialite/. Het CIBG en Actiris gaan op dezelfde manier te werk. Alle vereiste informatie kan verkregen worden via de privacy statement die op hun respectieve portaalsites staat. 4. Het register van de kabinetten wordt momenteel opgesteld door de Data Stewards van de kabinetten. De DPO kan derhalve nog niet bepalen of ze gevoelige gegevens verwerken. In het algemeen worden gevoelige gegevens verwerkt wanneer de opdracht van het betrokken bestuur en het doel van de betreffende verwerking vereisen dat dergelijke gegevens worden verwerkt. De registers van activiteiten van de verwerkte gegevens gehouden door de besturen van de GOB bepalen dat wanneer een verwerking betrekking heeft op gevoelige gegevens, deze gegevens worden opgesomd in de registers. Er wordt altijd gespecificeerd voor hoe lang ze worden bewaard. Persoonlijke, zogenaamde gevoelige gegevens, volgens de artikelen 9 en 10 van de AGV, worden verwerkt binnen het CIBG. Een register met de activiteiten waarbij persoonlijke gegevens worden verwerkt werd er opgesteld en is beschikbaar voor de instantie voor gegevensbescherming. Actiris verwerkt gevoelige gegevens slechts in enkele zeer doelgerichte gevallen. Deze verwerkingen worden omschreven in het register van verwerkingen en zijn onderworpen aan verhoogde waakzaamheid en bijzondere organisatorische, logische en fysieke maatregelen. 5. Verschillende effectbeoordelingen zijn aan de gang of werden afgerond voor het CIBG. Het CIBG wordt beschouwd als een onderaannemer voor een groot aantal activiteiten waarbij persoonlijke gegevens worden verwerkt, verwerkingen die worden uitgevoerd door zijn klanten. De effectbeoordelingen uitgevoerd in 2019 hebben betrekking op videobewaking en de NOVA-applicatie. Een effectbeoordeling met betrekking tot de gegevensbescherming (EBGB) is inderdaad noodzakelijk voor elke verwerking die verband houdt met systematische bewakingsgegevens of persoonlijke gegevens op grote schaal met toegang tot authentieke bronnen. Er zijn nog twee andere analyses aan de gang. De ene betreft de verwerking van persoonsgegevens van kwetsbare personen, voor het datawarehouse “Armoede; de andere heeft betrekking op de verwerking van gevoelige gegevens in de HMS-applicatie (Housing Management System) voor het beheer van onroerend goed en verhuur op maatschappelijk niveau. Andere effectbeoordelingen zullen nog volgen volgens het opnieuw geëvalueerde actieplan. Voor de GOB werden alle verwerkingen beoordeeld door de DPO teneinde te bepalen of het nodig is om een effectbeoordeling uit te voeren (hierna “PIA”) vertrekkende van de criteria uit de AVG, criteria van groep 29 en de aanbevelingen van de Instantie voor Gegevensbescherming. De geconsolideerde lijst van verwerkingen waarbij een PIA vereist is, zal begin 2020 worden voltooid voor de GOB. De prioriteit voor de GOB, in het kader van de realisatie van effectbeoordelingen, is de analyse van de betrokken verwerkingen na 25 mei 2018 of de verwerkingen die sinds die datum werden gewijzigd. Parallel met de invoering van een systematische procedure voor de uitvoering van PIA, heeft de GOB effectbeoordelingen opgestart voor alle nieuwe kritische processen die onder de aandacht werden gebracht van de DPO. Wat Actiris betreft, werden effectbeoordelingen en risicoanalyses uitgevoerd of worden op dit ogenblik uitgevoerd met betrekking tot de verwerkingen die gevoelig worden geacht. Deze analyses werden opgestart in de loop van het tweede trimester van 2019. Ze worden jaarlijks geactualiseerd. De belangrijkste verwerkingen onderworpen aan deze risicoanalyse zijn : de verwerking van persoonsgegevens met betrekking tot de videobewakingssystemen die in de verschillende gebouwen van Actiris zijn geïnstalleerd ; de verwerking waarbij persoonsgegevens in het kader van een overeenkomst worden uitgewisseld met partners van Actiris ; het nieuwe beheersplatform van human ressources ; en een POC (Proof of Concept) van een algoritme op basis van kunstmatige intelligentie om de adviseurs “werk” bij te staan. |