Logo Parlement Buxellois

Schriftelijke vraag betreffende het CIBG en het beheer van particuliere gegevens

Indiener(s)
David Leisterh
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 1069)

 
Datum ontvangst: 28/10/2022 Datum publicatie: 17/01/2023
Zittingsperiode: 19/24 Zitting: 22/23 Datum antwoord: 19/12/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
15/11/2022 Ontvankelijk
 
Vraag   

Ik begrijp dat het CIBG een overheidsopdracht heeft gegund aan een Amerikaanse speler (Salesforce Inc) om te zorgen voor geconsolideerd gegevensbeheer. Het is echter duidelijk dat een groot aantal nationale gegevensbeschermingsautoriteiten gekant is tegen Amerikaanse spelers voor het beheer van persoonsgegevens die in het bezit zijn van overheidsinstanties.

Bovendien heeft de Europese Commissie, zoals u weet mijnheer de minister, aangekondigd dat zij samen met 22 nationale regulatoren een onderzoek zal instellen naar het gebruik van clouddiensten door de publieke sector om na te gaan of deze de privacywaarborgen respecteren, aangezien publieke en private instanties steeds vaker gebruik maken van clouddiensten van grote Amerikaanse providers die vallen onder wetgeving die disproportionele surveillanceactiviteiten door de Amerikaanse autoriteiten toestaat.

In het licht hiervan zou ik u de volgende vragen willen stellen:

  • Hoe acht u zich, in de context die ik u zojuist heb beschreven en ondanks de huidige discussies in alle lidstaten van de Europese Unie, in staat om de burgers van Brussel en België te verzekeren dat de bescherming van hun persoonsgegevens is gewaarborgd?

  • De dure toepassing van deze oplossingen zou binnenkort verboden kunnen worden en er zou moeten worden overgestapt op Europese oplossingen, of ten minste oplossingen die de door de GDPR voorgeschreven normen in acht nemen. Waarom deze keuzes opleggen en onze burgers dit risico laten nemen, - en tegelijkertijd de werking van de instellingen en de continuïteit van de openbare dienstverlening ondermijnen? Komt het doordat de overheidsopdracht nog niet is uitgevoerd?

  • Is het niet wenselijk een beroep te doen op Europese actoren die de samenhang met de Europese verordening betreffende het beheer van persoonsgegevens waarborgen?

 

 
 
 
Antwoord    Zoals u vermeldt, heeft de Regering op 17/06/2019 een overheidsopdracht gegund op voordracht van de staatssecretaris Bianca DEBAETS voor de oprichting van een burgerplatform (CRM) bij Cronos (Salesforce).
De nietigverklaring van het Privacy Shield (overeenkomst binnen het recht inzake de bescherming van persoonsgegevens waarover tussen 2015 en 2016 onderhandeld werd tussen de Europese Unie en de Verenigde Staten om de toepassing van de AVG mogelijk te maken voor de Europese gegevens die in de Verenigde Staten gehost worden) door het HJEU (Hof van Justitie van de Europese Unie) werd beslist op 16/07/2020 (arrest Schrems 2).

1/
De opdracht Salesforce werd toegekend vóór het arrest Schrems 2 van het HJEU. Als gevolg van dit arrest heeft het Europees Comité voor gegevensbescherming (EDPB) beveiligingsmaatregelen voorgesteld die ingevoerd moesten worden om de doorgifte van Europese gegevens naar Amerikaanse hostingfaciliteiten mogelijk te maken.
Sindsdien hebben het Centrum voor Informatica voor het Brusselse Gewest en de Gewestelijke Overheidsdienst Brussel risicoanalyses uitgevoerd en actieplannen opgesteld om zo goed mogelijk op de gevolgen van dit nieuwe arrest te reageren. Sommige maatregelen werden reeds genomen:
zo hebben we een beveiligingsaudit uitgevoerd; we structureren de toegangen, zodat elke medewerker enkel toegang heeft tot de gegevens die nodig zijn voor het vastgestelde doel, en wij voeren overeenkomsten in om de rollen en verantwoordelijkheden zowel vanuit technisch als vanuit communicatie-oogpunt te verduidelijken. Voor bepaalde lopende projecten is ook encryptie (BYOK) voorzien.

Deze verschillende maatregelen weerspiegelen onze wil om alle nodige middelen in te zetten teneinde ervoor te zorgen dat de Brusselse en Belgische burgers verzekerd zijn van de bescherming van hun persoonsgegevens. We moeten er echter op wijzen dat dit een proces van voortdurende verbetering is dat zal evolueren in functie van de gevolgen van eventuele nieuwe arresten van het Hof van Justitie van de Europese Unie, van de adviezen van de Gegevensbeschermingsautoriteit (GBA) en van de evaluatie van de onderhandelingen tussen de Europese Unie en de Verenigde Staten na de nietigverklaring van het “Privacy Shield”. Bovendien werden/worden, na het arrest Schrems 2, impactanalyses van de verwerking of doorgifte van gegevens uitgevoerd, overeenkomstig de recente richtlijnen van het Europees Comité voor gegevensbescherming (European Data Protection Board).
Conclusie: de juridische en technologische analyses hebben ervoor gezorgd dat kon worden vastgesteld dat het Brussels Gewest Salesforce, technologie van Amerikaanse oorsprong, kan gebruiken, zolang de in hoofdstuk V van de Algemene verordening gegevensbescherming opgenomen mechanismen worden nageleefd. De Gewestelijke Overheidsdienst Brussel en het Centrum voor Informatica voor het Brusselse Gewest analyseren regelmatig de verwerking en doorgifte van gegevens met betrekking tot de nieuwe evoluties.


2/
De opdracht werd gelanceerd overeenkomstig de destijds geldende wetgeving. Het is momenteel niet verboden Amerikaanse oplossingen te gebruiken.
Sinds het arrest Schrems 2 en de publicatie van de richtlijnen van het Europees Comité voor gegevensbescherming nemen we, na analyse van de risico’s, de nodige veiligheidsmaatregelen.

Het Centrum voor Informatica voor het Brusselse Gewest en Brussel ConnectIT blijven waakzaam voor alle nieuwe berichten en reageren dienovereenkomstig.

3/
De huidige situatie en de wetgeving inzake overheidsopdrachten staan ons niet toe de toegang tot de overheidsopdrachten te beperken tot uitsluitend Europese ondernemingen. Tot slot loopt de opdracht van 2019 nog.