Logo Parlement Buxellois

Schriftelijke vraag betreffende de impact van de Data Protection Officer (DPO) en de Algemene Verordening Gegevensbescherming (AVG) op de gewestelijke instellingen

Indiener(s)
Emin Özkara
aan
Barbara Trachte, staatssecretaris van het Brussels Hoofdstedelijk Gewest, bevoegd voor Economische transitie en Wetenschappelijk onderzoek (Vragen nr 36)

 
Datum ontvangst: 20/12/2019 Datum publicatie: 03/03/2020
Zittingsperiode: 19/24 Zitting: 19/20 Datum antwoord: 27/02/2020
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
13/01/2020 Ontvankelijk p.m.
 
Vraag    De bescherming van persoonsgegevens is een van de grootste uitdagingen van onze democratische samenlevingen met een hoge mate van connectiviteit. In het punt "Een "Smart City"-ambitie voor Brussel" stelt de algemene beleidsverklaring (zittingsperiode 2019-2024) het volgende "De Regering steunt een “open data-beleid” voor openbare gegevens, dat erop gericht is oplossingen te ontwikkelen voor de samenleving (e-gezondheid, mobiliteit, bestuur enz.). Zij zal ook haar steun toezeggen aan slimme systemen die de privacy respecteren en een heuse maatschappelijke, ecologische en economische meerwaarde inhouden voor de opdrachten die het Gewest moet vervullen op het vlak van mobiliteit, afvalverwerking, het beheer van bouwplaatsen, enz.".
Zoals u weet is het onder de AVG in bepaalde omstandigheden verplicht een “GEB” (DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen (). Om die reden wens ik vandaag, 19 december 2019, terug te komen op deze uiterst belangrijke aangelegenheid met betrekking tot de persoonlijke levenssfeer.
Ik wens u dus, in uw hoedanigheid van staatssecretaris van de Brusselse Hoofdstedelijke Regering (BHR), belast met Economische Transitie en Wetenschappelijk Onderzoek (bevoegdheid gedelegeerd door minister Alain Maron), de volgende vragen te stellen:
1. Voldoet uw kabinet ten volle aan de vereisten van de AVG en beschikt het over een DPO?
2. Welke gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen voldoen thans niet ten volle aan de vereisten van de AVG en/of beschikken niet over een DPO?
3. Werd een lijst opgesteld met de DPO’s van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen? Zijn de gegevens van de DPO ter beschikking van het publiek?
Voor ELK van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen, wens ik u de volgende bijkomende vragen te stellen:
4. Worden gevoelige gegevens verwerkt? Zo ja, is er een register van verwerkingsactiviteiten beschikbaar voor deze ''gevoelige'' gegevens?
5. Werd een gegevensbeschermingseffectbeoordeling (GEB) verricht? Zo ja, wanneer, hoe vaak en voor welke gegevensverwerkingen?
Gegevensbeschermingsautoriteit, “Gegevensbeschermingseffectbeoordeling”,
https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, geraadpleegd op 19 december 2019.
 
 
Antwoord    Om aan de vereisten van de AVG te voldoen, hebben wij deelgenomen aan de informatievergadering die in de loop van november 2019 is georganiseerd. De bepalingen van de Gewestelijke Overheidsdienst Brussel (GOB) voorzien niet in een specifieke DPO voor de kabinetten. De DPO is verbonden aan de GOB. Overeenkomstig de bepalingen opgesteld door de GOB, hebben wij een Data Steward aangewezen. De Data Steward zal binnenkort (in de loop van februari) de DPO ontmoeten om het gegevensverwerkingsregister en de specifieke AVG-processen te lanceren: beheer van schendingen van persoonsgegevens, gegevensbeschermingseffectbeoordeling (GEB) en uitoefening van de rechten van de betrokkenen.

Wat de gewestelijke instellingen die onder mijn bevoegdheid vallen betreft:

Voor Brussel Economie en Werkgelegenheid valt deze kwestie onder de bevoegdheid van Brussel Gewestelijke Coördinatie en meer bepaald van de directie Digital Transformation Office.

De groep finance&invest.brussels is geen administratief orgaan, maar een onderneming die actief is op de markt van de bedrijfsfinanciering (waardoor de aanstelling van een DPO a priori niet verplicht is). Om de privacy van haar partners te beschermen, is een advocate die werkzaam is op een kantoor dat gespecialiseerd is in het IT-recht, recent in deze functie aangesteld - finance&invest.brussels is voor het overige niet onderworpen aan de wetgeving inzake overheidsopdrachten. Dit maakt het ook mogelijk om de beveiliging van de IT-architectuur te optimaliseren in het kader van de reorganisatie van de werkmethoden van de groep.

Wat Citydev betreft, nodig ik u vriendelijk uit om het antwoord van de Minister-President, die ter zake bevoegd is, te raadplegen.

Wat
Innoviris betreft, zijn de kernverplichtingen van de AVG ten uitvoer gelegd, hoewel de conformiteit voortdurend zal worden geëvalueerd en verbeterd:
· Benoeming van de DPO (geregistreerd bij de controleautoriteit)
· Vaststelling en communicatie van de procedure voor de behandeling van verzoeken van betrokkenen
· Opstelling van het activiteitenregister en controle op de rechtmatigheid van de uitgevoerde verwerkingen.
· GEB-analyse en -verantwoording van de verwerkingsactiviteiten
· Vaststelling en communicatie van de procedure voor incidentenbeheer en kennisgeving bij de GBA. Integratie van deze procedure in het Innoviris-ticketingsysteem.
· Instelling van een intern bewustmakingsprogramma: classroom, nieuws op intranet, brochure, enz.
· Ontwikkeling van standaardclausules voor onderaannemers/overheidsopdrachten. De contracten en de noodzaak van een DPA (Data Processing Agreement) worden stelselmatig herzien.
· Ontwikkeling van het informatieveiligheidsbeleid, dat thans wordt gevalideerd. Andere beleidslijnen staan op stapel, zoals de beginselen van gegevensbescherming.
Wat de zogenaamde gevoelige gegevens betreft, is een activiteitenregister ontwikkeld, evenals een gedetailleerde analyse van de soorten gegevens voor elke fiche. De gegevensbeschermingseffectbeoordeling (GEB) wordt momenteel uitgevoerd.

De analyse gebeurt in twee fasen:
Fase 1: Voor elke verwerkingsfiche (< 40)) wordt een verantwoording aan de Data Protection Impact Assessment (gegevensbeschermingseffectbeoordeling (GEB)) opgesteld. Deze verantwoording maakt het al mogelijk om het niet-noodzakelijke karakter van de GEB voor bepaalde verwerkingen uit te sluiten en te documenteren. Er zijn namelijk verwerkingsoperaties die, ondanks het soort gegevens dat wordt verwerkt, geen GEB vereisen (bv. beheer van opleidingen).
Fase 2: De GEB wordt uitgevoerd (er is een tool geselecteerd) voor de verwerkingen die in fase 1 zijn gediagnosticeerd.
Het is de bedoeling om deze analyse in 2020 af te ronden.
Voor nieuwe verwerkingsactiviteiten of verwerkingsactiviteiten die (zullen) worden aangepast, wordt in de documentatie toegelicht wanneer de GEB moet worden uitgevoerd en volgens welke methode. Deze moet worden geïntegreerd in de werk- en projectbeheermethode voor nieuwe verwerkingen.

Hub.brussels voert de technische en organisatorische maatregelen uit die een redelijke zekerheid kunnen bieden met betrekking tot de naleving van de AVG. Hub. Brussel heeft een DPO waarvan het contact-e-mailadres te vinden is in hun beleid inzake de bescherming van persoonsgegevens op de website van het agentschap. In principe verwerkt hub.brussels geen gevoelige gegevens. Als het geval zich zou voordoen, dan zou de verwerking in overeenstemming met de AVG gebeuren en dus in het verwerkingsregister worden opgenomen. Bovendien heeft hub.brussels in 2019 een effectbeoordeling uitgevoerd voor de volgende verwerkingsoperatie: het gebruik van een geolocalisatiesysteem. De gegevensverwerking is ingesteld in het kader van de volgende doeleinden:
a) de veiligheid van de werknemer;
b) de controle en het toezicht op de taken en opdrachten die de verwerkingsverantwoordelijke aan de werknemer heeft toevertrouwd;
c) de controle en het toezicht op de werknemer om ervoor te zorgen dat de werkafspraken worden nageleefd;
d) de optimalisatie van het beheer van de verplaatsingen van de werknemer;
e) de verificatie van de betrouwbaarheid, de nauwkeurigheid en de kwaliteit van de door de werknemer verzamelde gegevens.