Logo Parlement Buxellois

Schriftelijke vraag betreffende de impact van de Data Protection Officer (DPO) en de Algemene Verordening Gegevensbescherming (AVG) op de gewestelijke instellingen

Indiener(s)
Emin Özkara
aan
Rudi Vervoort, Minister-President van de Brusselse Hoofdstedelijke regering, belast met Territoriale Ontwikkeling en Stadsvernieuwing, Toerisme, de Promotie van het Imago van Brussel en Biculturele Zaken van gewestelijk Belang (Vragen nr 86)

 
Datum ontvangst: 20/12/2019 Datum publicatie: 21/02/2020
Zittingsperiode: 19/24 Zitting: 19/20 Datum antwoord: 21/02/2020
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
13/01/2020 Ontvankelijk p.m.
 
Vraag    De bescherming van persoonsgegevens is een van de grootste uitdagingen van onze democratische samenlevingen met een hoge mate van connectiviteit. In het punt "Een "Smart City"-ambitie voor Brussel" stelt de algemene beleidsverklaring (zittingsperiode 2019-2024) het volgende "De Regering steunt een “open data-beleid” voor openbare gegevens, dat erop gericht is oplossingen te ontwikkelen voor de samenleving (e-gezondheid, mobiliteit, bestuur enz.). Zij zal ook haar steun toezeggen aan slimme systemen die de privacy respecteren en een heuse maatschappelijke, ecologische en economische meerwaarde inhouden voor de opdrachten die het Gewest moet vervullen op het vlak van mobiliteit, afvalverwerking, het beheer van bouwplaatsen, enz.".
Zoals u weet is het onder de AVG in bepaalde omstandigheden verplicht een “GEB” (DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen (). Om die reden wens ik vandaag, 19 december 2019, terug te komen op deze uiterst belangrijke aangelegenheid met betrekking tot de persoonlijke levenssfeer.
Ik wens u dus, in uw hoedanigheid van minister-president van de Brusselse Hoofdstedelijke Regering (BHR), belast met Territoriale Ontwikkeling en Stadsvernieuwing, Toerisme, de Promotie van het Imago van Brussel en Biculturele Zaken van gewestelijk Belang, de volgende vragen te stellen:
1. Voldoet uw kabinet ten volle aan de vereisten van de AVG en beschikt het over een DPO?
2. Welke gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen voldoen thans niet ten volle aan de vereisten van de AVG en/of beschikken niet over een DPO?
3. Werd een lijst opgesteld met de DPO’s van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen? Zijn de gegevens van de DPO ter beschikking van het publiek?
Voor ELK van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen, wens ik u de volgende bijkomende vragen te stellen:
4. Worden gevoelige gegevens verwerkt? Zo ja, is er een register van verwerkingsactiviteiten beschikbaar voor deze ''gevoelige'' gegevens?
5. Werd een gegevensbeschermingseffectbeoordeling (GEB) verricht? Zo ja, wanneer, hoe vaak en voor welke gegevensverwerkingen?
Gegevensbeschermingsautoriteit, “Gegevensbeschermingseffectbeoordeling”,
https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, geraadpleegd op 19 december 2019.
 
 
Antwoord    1) De kabinetten worden momenteel in overeenstemming gebracht met de eisen van de AVG. Het ministerieel kabinet beschikt over een DPO via de overheidsopdracht de is uitgeschreven op initiatief van de GOB. De huidige DPO is de heer Jean-Pierre Heymans, die gecontacteerd kan worden op het e-mailadres DPO@gob.brussels. Aangezien constant moet worden toegezien op het feit of de organisatie aan de AVG blijft voldoen, begeleidt de DPO van de GOB het kabinet bij deze opdracht.
2) 4) en 5). Er dient constant te worden toegezien op het feit of de organisatie aan de AVG blijft voldoen De besturen GOB, Talent en Urban beschikken over een DPO. De besturen van de GOB beschikken over hun eigen verwerkingsregisters en blijven de tools en procedures ontwikkelen die vereist zijn om conform te blijven. Bij de andere besturen waarvoor ik bevoegd ben, en meer bepaald bij Brussel Preventie en Veiligheid, zijn de voornaamste plichten die aan de AVG zijn verbonden intern geïmplementeerd, onder meer zoals voorzien is in artikel 37 van de AVG, met de aanstelling van een DPO die geregistreerd staat bij de Gegevensbeschermingsautoriteit.

Daarbij vindt elke burger die zijn door de AVG gewaarborgde rechten wenst uit te oefenen de gegevens van de DPO op de website van de instelling.

De verwerking van zogenaamd gevoelige of persoonlijke gegevens volgens art 9-10 du RGPD wordt gedocumenteerd in het gegevensverwerkingsregister.

De frequentie of het soort verwerking en de impactanalyse voor de bescherming van persoonsgegevens wordt geregeld door de aanbevelingen van de GBA en van de EDPB (Europees Comité voor Gegevensbescherming). Op grond van hun aanbevelingen heeft BPV de verwerkingen geïdentificeerd die een GEB vereisen. Daarnaast lopen meerdere andere analyses.

De twee gewestelijke instellingen die onder mijn bevoegdheid voor het imago van Brussel en het toerisme vallen, zijn visit.brussels en screen.brussels Fund.
De vzw screen.brussels Fund telt momenteel drie voltijdse medewerkers. Het beheer van de verplichtingen die voortvloeien uit de AVG, werd toevertrouwd aan het CIBG.

Voor wat visit.brussels betreft, zal ik u een uitvoeriger antwoord geven.
In 2018 deed de instelling een beroep op een gespecialiseerd advocatenkantoor om zich in regel te stellen met de AVG. Dat proces wordt vandaag voortgezet met de hulp van een DPO die ter beschikking is gesteld door het CIBG. Volgende maatregelen werden genomen:
· Bewustmaking van het personeel via allerlei kanalen: intranet, folder voor nieuw personeel, …
· Opmaak van het register en van de verwerkingsfiches
· Verantwoording DPIA en methode
· Procedure voor het beheer van inbreuken en tools voor een effectbeoordeling
· Beheer van verzoeken van betrokkenen
· Invoering van andere maatregelen om informatie te beveiligen: inkoopproces, …


Er worden inderdaad gevoelige gegevens verwerkt en er is een register beschikbaar.
Momenteel is een beoordeling bezig. 
Die steunt op de volgende aanpak:
· Voor elke verwerkingsfiche (bestaande activiteiten) wordt de DPIA verantwoord. Die verantwoordingen gebeuren door de DPO.

· De effectbeoordeling dient enkel te worden uitgevoerd wanneer geoordeeld of verantwoord wordt dat de fiches een grote impact hebben
Het is de bedoeling om in 2020 grote stappen vooruit te zetten op dit gebied. Een effectbeoordeling is niet eenvoudig en levert niet onmiddellijk resultaat op. Voor de nieuwe verwerkingen is in documentatie uitgelegd wanneer het nodig is een effectbeoordeling uit te voeren als onderdeel van de werk- en projectbeheermethode. 
Laten we ingaan op de instellingen die vallen onder mijn bevoegdheid Territoriale Ontwikkeling en Stadsvernieuwing

Voor wat Urban betreft:
Urban.brussels is op weg om zich in regel te stellen met de AVG. Het volgt daarvoor aansluitend op een conformiteitsanalyse een actieplan dat het had vastgelegd.

Een gespecialiseerd extern kantoor is de verwerkingen van urban.brussels volledig aan het analyseren en het verwerkingsregister aan het updaten. Die analyses moeten onder meer duidelijk maken voor welke verwerkingen een DPIA (Data Protection Impact Assessment) nodig is. Die kan dan in een volgende stap plaatsvinden.

De DPO (Data Protection Officer) van de GOB, die de diensten van de Brusselse regering en dus ook urban.brussels bestrijkt, treedt momenteel op als DPO voor Urban.brussels.

Voor wat Citydev betreft:
Deze instelling beschikt sinds 6 september 2017 over een DPO die officieel benoemd is door de directieraad van citydev.brussels.

Het gaat om iemand die een opleiding als jurist genoten heeft en twee thesissen geschreven heeft over de bescherming van persoonsgegevens. Hij heeft ook een opleiding gevolgd aan het Data Protection Institute om zich te bekwamen in de vereiste vaardigheden van een Data Protection Officer.

De AVG onderscheidt een aparte groep gegevens waarvan de verwerking delicater is dan die van andere. Deze gevoelige gegevens houden verband met:
· het ras of de etnische afkomst van een persoon;
· politieke opvattingen
· religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond;
· genetische gegevens;
· biometrische gegevens met het oog op de unieke identificatie van een natuurlijk persoon;
· gegevens over de gezondheid, het seksueel gedrag of de seksuele geaardheid van een natuurlijk persoon.

De enige gegevens van die soort die bijgehouden worden, zijn de gegevens over de arbeidsongevallen van onze werknemers, de medische attesten en elk ander in dat verband bezorgd document waaruit duidelijk de aard van een ziekte of een handicap op te maken valt.

Deze gevoelige gegevens worden opgenomen in het register van de verwerkingsactiviteiten.

Het uitvoeren van een DPIA is slechts verplicht wanneer de gegevensverwerking, gelet op de aard, de omvang, de context en de doeleinden daarvan, een waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Om te beoordelen of het nodig is een DPIA uit te voeren, volgen we de aanbevelingen van de Europese Werkgroep 29. De verslagen van deze werkgroep zijn de maatstaf voor alle andere gegevensbeschermingsautoriteiten in alle lidstaten van de EU.


De WG29 heeft een reeks van negen criteria vastgelegd op basis waarvan bepaald kan worden of het nodig is om met het oog op de verwerking van gegevens een DPIA uit te voeren:
· evaluatie en scoretoekenning;
· geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
· stelselmatige monitoring;
· gevoelige gegevens of gegevens van zeer persoonlijke aard;
· verwerking van persoonsgegevens op grote schaal;
· matching en samenvoeging van datasets;
· gegevens met betrekking tot kwetsbare betrokkenen;
· innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen;

wanneer als gevolg van de verwerking betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.

De verwerking van persoonsgegevens is onderworpen aan een DPIA als minstens twee van de negen criteria vervuld zijn.

Geen enkele verwerking in het verwerkingsregister van Citydev beantwoordt aan de voorwaarden die een DPIA verplicht maken.

Voor de gevoelige gegevens (over de arbeidsongevallen van het personeel) die de instelling bijhoudt en voor de gegevens die in het kader van de stadsvernieuwingsopdracht van citydev.brussels ingezameld worden bij de burgers, wordt echter wel een afgeslankte DPIA uitgevoerd. We zoeken nog naar manieren om dat soort DPIA’s efficiënter te maken, maar de instelling houdt zich aan de wettelijke verplichtingen op dat vlak.
Voor wat Perspective.brussels betreft
Perspective.brussels beantwoordt aan de eisen van de AVG.

Perspective.brussels voldoet aan de artikelen 37, 38 en 39 met Chris Maertens als DPO. Chris Maertens is bij de Gegevensbeschermingsautoriteit (GBA) geregistreerd onder het nummer EBDOBUWA. De contactgegevens staan op de website van perspective.brussels 

Perspective.brussels verwerkt geen zogenaamd gevoelige gegevens.

In naleving van artikel 35 voert perspective.brussels een GEB (gegevensbeschermingseffectbeoordeling) uit alvorens bepaalde nieuwe verwerkingen te overwegen. Alle GEB’s worden uitgevoerd voordat de gegevensverwerking van start gaat en zij worden ook geactualiseerd telkens er iets verandert in de verwerking. Perspective.brussels analyseert ook de verwerkingen die opgenomen zijn op de nieuwe, onlangs bekendgemaakte lijst van de GBA.


Alle verwerkingen met minstens één GEB worden gedocumenteerd in het verwerkingsregister.

3) Ik heb geen kennis van en kadaster van DPO. Aangezien de DPO van het kabinet dezelfde is als van de GOB zijn diens gegevens beschikbaar op het volgende e-mailadres: https://servicepublic.brussels/politique_confidentialité/.