Logo Parlement Buxellois

Schriftelijke vraag betreffende de impact van de Data Protection Officer (DPO) en de Algemene Verordening Gegevensbescherming (AVG) op de gewestelijke instellingen

Indiener(s)
Emin Özkara
aan
Pascal Smet, Staatssecretaris van het Brussels Hoofdstedelijk Gewest, bevoegd voor Stedenbouw en Erfgoed, Europese en Internationale Betrekkingen, Buitenlandse Handel en Brandbestrijding en Dringende Medische Hulp (Vragen nr 51)

 
Datum ontvangst: 20/12/2019 Datum publicatie: 17/02/2020
Zittingsperiode: 19/24 Zitting: 19/20 Datum antwoord: 13/02/2020
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
13/01/2020 Ontvankelijk p.m.
 
Vraag    De bescherming van persoonsgegevens is een van de grootste uitdagingen van onze democratische samenlevingen met een hoge mate van connectiviteit. In het punt "Een "Smart City"-ambitie voor Brussel" stelt de algemene beleidsverklaring (zittingsperiode 2019-2024) het volgende "De Regering steunt een “open data-beleid” voor openbare gegevens, dat erop gericht is oplossingen te ontwikkelen voor de samenleving (e-gezondheid, mobiliteit, bestuur enz.). Zij zal ook haar steun toezeggen aan slimme systemen die de privacy respecteren en een heuse maatschappelijke, ecologische en economische meerwaarde inhouden voor de opdrachten die het Gewest moet vervullen op het vlak van mobiliteit, afvalverwerking, het beheer van bouwplaatsen, enz.".
Zoals u weet is het onder de AVG in bepaalde omstandigheden verplicht een “GEB” (DPIA in het Engels) uit te voeren. Een GEB is een procedure om te evalueren of een verwerking van persoonsgegevens risico’s inhoudt voor de rechten en vrijheden van de persoon wiens data wordt verwerkt en hoe men deze risico’s kan beheersen (). Om die reden wens ik vandaag, 19 december 2019, terug te komen op deze uiterst belangrijke aangelegenheid met betrekking tot de persoonlijke levenssfeer.
Ik wens u dus, in uw hoedanigheid van staatssecretaris van de Brusselse Hoofdstedelijke Regering (BHR), belast met Stedenbouw en Erfgoed, Europese en Internationale Betrekkingen, Buitenlandse Handel en Brandbestrijding en Dringende Medische Hulp (bevoegdheid gedelegeerd door minister Sven Gatz), de volgende vragen te stellen:
1. Voldoet uw kabinet ten volle aan de vereisten van de AVG en beschikt het over een DPO?
2. Welke gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen voldoen thans niet ten volle aan de vereisten van de AVG en/of beschikken niet over een DPO?
3. Werd een lijst opgesteld met de DPO’s van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen? Zijn de gegevens van de DPO ter beschikking van het publiek?
Voor ELK van de gewestelijke instellingen die onder uw bevoegdheid of toezicht vallen, wens ik u de volgende bijkomende vragen te stellen:
4. Worden gevoelige gegevens verwerkt? Zo ja, is er een register van verwerkingsactiviteiten beschikbaar voor deze ''gevoelige'' gegevens?
5. Werd een gegevensbeschermingseffectbeoordeling (GEB) verricht? Zo ja, wanneer, hoe vaak en voor welke gegevensverwerkingen?
Gegevensbeschermingsautoriteit, “Gegevensbeschermingseffectbeoordeling”,
https://www.gegevensbeschermingsautoriteit.be/gegevensbeschermingseffectbeoordeling-0, geraadpleegd op 19 december 2019.
 
 
Antwoord    Het kabinet voldoet aan de eisen van de AVG. De DPO werd in het Brusselse Gewest aangesteld als verantwoordelijke voor alle kabinetten en de administratie. Binnen het kabinet werd een verantwoordelijke aangesteld voor de verwerking.

Wat de
DBDMH betreft, is het in overeenstemming brengen van de AVG gestart in de loop van het jaar 2018. Dit proces loopt nog steeds en vereist een permanente follow-up. De DBDMH heeft de diensten van het CIBG ingeschakeld via de specifieke dienst “DPO as-service”.

Er werden een aantal maatregelen geïmplementeerd (niet-uitputtende lijst):
· Sensibilisering van het personeel via verschillende media: intranet, nieuwe medewerkersbrochure, ...
· Vaststelling van het register en de verwerkingsfiches ;
· Rechtvaardiging DPIA en methode;
· Beheersprocedure inbreuken en besluitvormingsinstrument voor impactanalyse om vast te stellen of de GBA en/of de betrokkene al dan niet moet worden gewaarschuwd;
· Beheer van verzoeken van betrokkenen;
· Documentatie (formalisering) van de controlemaatregelen: Informatiebeveiligingsbeleid, ... ;
· Een DPO (aangegeven bij de GBA)
· …

De DBDMH heeft een DPO.
De DPO van de DBDMH heeft een gedetailleerd activiteitenplan opgesteld dat alle verwerkingen omvat die nodig zijn om aan de voorschriften te voldoen. In dit actieplan worden 11 doelstellingen vastgesteld: bepaalde doelstellingen zijn behaald en andere zijn in uitvoering.
De DBDMH behandelt gevoelige gegevens. Het register van de activiteiten en van de activiteitenfiches is beschikbaar.
De gegevensbeschermingseffectbeoordeling (GEB) is in de maak. De aanpak is de volgende:
Een rechtvaardiging bij de DPIA wordt opgemaakt voor iedere verwerkingsfiche. Deze rechtvaardiging maakt het reeds mogelijk om het niet-noodzakelijke karakter van de volledige DPIA uit te sluiten en te documenteren. Er zijn immers uitzonderingen op de DPIA voor bepaalde verwerkingen (bv. het beheer van opleidingen), ondanks de aard van de verwerkte gegevens. Tot nu toe zijn er van de 50 bestaande fiches ongeveer 20 gerechtvaardigd. 2020 zal erop gericht zijn deze actie af te ronden.

Met betrekking tot nieuwe verwerkingen of de wijziging van bestaande verwerkingen (zowel wat de technologieën als de soorten verzamelde gegevens betreft) wordt in een documentatie uitgelegd wanneer dit moet gebeuren. Deze moet worden geïntegreerd in de werk- en projectbeheersmethode die nieuwe of bijgewerkte (operationele) verwerkingen omvat.

Urban.brussels
doorloopt momenteel een traject om zich in regel te stellen met de AVG. Na een conformiteitsanalyse werd een actieplan opgesteld en dat wordt momenteel opgevolgd. In dat kader wordt momenteel een volledige analyse van de verwerkingen van urban.brussels uitgevoerd. Voorts wordt het gegevensregister bijgewerkt. Dat alles gebeurt door een extern, gespecialiseerd kabinet. Het eindresultaat van de analyse zal met name de verwerkingen identificeren die voor een GEB in aanmerking komen. De GEB zal daarna worden uitgevoerd. De DPO die urban.brussels gebruikt, is op dit moment die van de GOB. Die dekt de diensten van de Brusselse regering, met inbegrip van urban.brussels.

Hub.brussels
voert de technische en organisatorische maatregelen uit om een redelijke verzekering van de AVG te bieden. Hub.brussels heeft een DPO. Het mailadres daarvan bevindt zich op de website van hub.brussels, bij het beleid over de persoonsgegevensbescherming.
In principe verwerkt hub.brussels geen gevoelige gegevens. Als dat in de toekomst toch zou gebeuren, zou de verwerking de AVG nageleefd worden en zou die dus in het verwerkingsregister worden opgenomen.
Beschrijving van de verwerking: gebruik van een geolokalisatiesysteem.
De gegevensverwerking volgt de volgende doelstellingen:
a) De veiligheid van de werknemer;
b) De controle en opvolging van de missies en taken die de verwerkingsverantwoordelijke aan de werknemer heeft toevertrouwd.
c) De controle en opvolging van de werknemer met het oog op de naleving van het arbeidsstelsel;
d) De optimalisering van het verplaatsingsbeheer van de werknemer;
e) De controle van de betrouwbaarheid, de exactheid en de kwaliteit van de gegevens die de werknemer heeft verzameld.
Inzet van de verwerking: de werknemers de kans geven om binnen het ‘Field’ op een professionele en automatische manier diverse informatie ter plaatse te verzamelen met behulp van tablets.