Privacy in de (MAGDA)kijker 26 september 2017

Doel uiteenzetting Verwerking van persoonsgegevens kan enkel voor zover is voldaan aan de privacywet = WVP^van 8 december 1992. En vanaf 25 mei 2018 moet de verwerking van persoonsgegevens gebeuren conform de Europese Algemene Verordening Gegevensbescherming (AVG = GDPR). https://www.privacycommission.be/nl/algemene- verordening-gegevensbescherming-0 Bestaande vereisten/ nieuwe evoluties / specifieke aandachtspunten voor de verwerkingsverantwoordelijken / verwerkers

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzicht van de verwerking van persoonsgegevens = WVP - Definities Persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Verwerking: elke bewerking of elk geheel van bewerkingen m.b.t. persoonsgegevens = verzamelen, bewaren, bijwerken, wijzigen, verspreiden, … van persoonsgegevens Verantwoordelijke voor de verwerking: bepaalt doel en middelen van de verwerking = het hoofd van de entiteit (niet de IT-dienst) Verwerker: verwerkt ten behoeve van de verantwoordelijke (‘uitbesteding’)

Principes WVP Finaliteit: Proportionaliteit: Transparantie: verwerking van persoonsgegevens voor bepaalde en gerechtvaardigde doeleinden Proportionaliteit: toereikend, ter zake dienend en niet overmatig nauwkeurig en zo nodig bijwerken niet langer dan nodig bewaren Transparantie: recht op informatie Veiligheid: gepaste technische en organisatorische maatregelen

Ook het e-govdecreet van 18 juli 2008 Instanties verwerken persoonsgegevens volgens de privacywet => adequate technische en organisatorische maatregelen => waken over de kwaliteit en veiligheid van de persoonsgegevens Oprichting Vlaamse Toezichtcommissie (VTC) De instanties die persoonsgegevens verwerken, duiden, al dan niet onder hun medewerkers, een veiligheidsconsulent aan, na gunstig advies van de Vlaamse Toezichtcommissie. Instanties die reeds een veiligheidsconsulent hebben aangewezen overeenkomstig de regelgeving betreffende het Rijksregister en/ of de KSZ, hoeven enkel de identiteit van die veiligheidsconsulent aan de VTC mee te delen.

e-govbesluit van 15 mei 2009 veiligheidsconsulenten Voorwaarden veiligheidsconsulent: Voldoende gevormd Over de vereiste tijd beschikken Geen activiteiten uitoefenen die onverenigbaar zijn met de functie van veiligheidsconsulent Taken veiligheidsconsulent: Adviezen en aanbevelingen inzake informatieveiligheid verstrekken Opdrachten inzake informatieveiligheid uitvoeren Bevorderen en toezien op de naleving van de veiligheidsvoorschriften Veiligheidsplan opstellen Jaarverslag opstellen

MACHTIGINGEN: wat? toestemming voor gegevensuitwisseling voorwaarden voor gebruik van de gevraagde persoonsgegevens voorafgaand aan de gegevensuitwisseling van persoonsgegevens

CBPL MACHTIGINGEN: bij wie (1)? Sectoraal Comité Kruispuntbank Rijksregister Sociale Zekerheid en Gezondheid Federale Overheid Kruispuntbank Ondernemingen Phenix Statistiek

MACHTIGINGEN: bij wie (2)? VTC

MACHTIGINGEN: aandachtspunten / inhoud Voor welbepaalde, duidelijk omschreven en wettige doeleinden = finaliteit De gevraagde gegevens, uitgaande van die doeleinden, zijn ter zake dienend en niet overmatig = proportionaliteit Maatregelen inzake informatieveiligheid: veiligheidsconsulent en – plan De beoogde verdere verwerking is verenigbaar met de initiële verwerking Informatieverstrekking aan de gebruikers = transparantie

MACHTIGINGEN RR t.v.v. GEMEENTEN KB van 3 april 1984: => Toegang tot alle gegevens van het Rijksregister betreffende de personen die in haar registers zijn ingeschreven => Toegang tot de gegevens, vermeld in artikel 3, eerste lid, WRR betreffende de personen die niet in haar registers zijn ingeschreven voorzover voor het vervullen van taken die tot de bevoegdheid van de gemeenten behoren. KB van 30 augustus 1985: gebruik RRnr: => voor het intern beheer van de registers en de verwerkingsverrichtingen waarmee zij ter uitvoering van wettelijke verplichtingen belast zijn => in hun betrekkingen met andere gemachtigden => in hun betrekkingen met de titularis van het nummer of met zijn wettelijke vertegenwoordiger

MACHTIGINGEN RR t.v.v. GEMEENTEN (2) Aanbeveling RR nr. 03/2008 van 16 april 2008 Draagwijdte KB van 30 augustus 1985: gebruik RRnummer: geen onderscheid al dan niet inwoner Draagwijdte KB van 3 april 1984: toegang tot RRgegevens: wel onderscheid al naargelang inwoner inwoners: toegang tot alle RRgegevens niet-inwoners: voorzover ooit ingeschreven en alleen met het oog op "intern beheer“ = een verrichting van de gemeente die verband houdt met het feit dat de betrokkene ooit "inwoner" is geweest. http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_RR_03_2008_1.pdf

MACHTIGINGEN RR t.v.v. GEMEENTEN (3) Beraadslaging RR nr 13/2013 van 13 februari 2013 = uitbreiding van het KB van 3 april 1984: de gemeenten (en verzelfstandigde agentschappen zonder RP) krijgen toegang tot bepaalde RR-gegevens van niet-inwoners voor welbepaalde finaliteiten VOORZOVER ze aan het SCRR een schriftelijke en ondertekende verbintenis sturen van instemming met de voorwaarden van de beraadslaging, EN slechts uitwerking NADAT het SCRR heeft vastgesteld dat: ·een consulent inzake informatiebeveiliging die alle noodzakelijke garanties biedt, werd aangesteld; ·alle nuttige informatie over de informatiebeveiliging werd verstrekt. http://www.privacycommission.be/sites/privacycommission/files/documents/beraadslaging_RR_13_2013.pdf

MACHTIGINGEN RR t.v.v. GEMEENTEN (4) De gemeente t.o.v. de beraadslaging RR nr. 13/2013 van 13 februari 2013 uitwerking krijgt, wordt vermeld op een lijst die op de website van de CBPL wordt gepubliceerd: https://www.privacycommission.be/nl/node/14929 Documenten die bij het verzoek tot aansluiting bij de algemene machtiging moeten worden gevoegd : toelichting + evaluatievragenlijst kandidaat-veiligheidsconsulent; conformiteitsverklaring beveiliging informatiesysteem; modelbrief voor aansluiting bij deze machtiging. Alle info op : http://www.privacycommission.be/nl/algemene-machtigingen-rr

LOKALE BESTUREN EN INFORMATIEBEVEILIGING ! Sinds 7 april 2003 is iedere instantie die toegang tot Rijksregister verkregen heeft, verplicht om al dan niet onder haar personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan te wijzen. De identiteit van die consulent wordt meegedeeld aan het sectoraal comité van het Rijksregister. Die verplichting werd ingevoegd in de RR-wet door een wetswijziging van 25 maart 2003 die op 7 april 2003 inwerking trad. Dus ingevolge die wetswijziging zijn sinds 7 april 2003 alle gemeenten verplicht om een informatieveiligheidsconsulent aan te wijzen, in het kader van toegang tot RR en gebruik RR-nummer.

LOKALE BESTUREN EN INFORMATIEBEVEILIGING (2)! Bovendien zijn sinds diezelfde wetswijziging 7 april 2003 alle gemachtigde instanties verplicht: bij naam hun personeelsleden of aangestelden aan te wijzen die, omwille van hun bevoegdheden, gemachtigd zijn om toegang tot of mededeling van de RR-gegevens te verkrijgen; van deze personen moeten ze een lijst opstellen; die lijst moet ter beschikking van het Sectoraal Comité van het Rijksregister worden gehouden. de personen die voorkomen op die lijst moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de gegevens waartoe zij toegang krijgen, te bewaren. Die lijst moet voortdurend worden geactualiseerd.

LOKALE BESTUREN EN INFORMATIEBEVEILIGING (3)! Aanbeveling RR nr 01/2015 van 18 februari 2015 = de informatiebeveiliging : Principes en aanbevelingen Consulent inzake informatiebeveiliging Beveiligingsbeleid Voorafgaande machtiging Toegangsbeleid: een gebruikers-en toegangsbeheersysteem Minimalisering van de gegevens Onverenigbaar doeleinde Recht op informatie http://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_RR_01_2015_0.pdf Richtsnoeren m.b.t. informatiebeveiliging in steden en gemeenten d.d. december 2015 (CBPL en VTC) https://www.privacycommission.be/sites/privacycommission/files/documents/Steden%20en%20gemeenten_v%203.0_0.pdf

LOKALE BESTUREN EN INFORMATIEBEVEILIGING (4)! Aanbeveling 07/2017 van 30 augustus 2017 https://www.privacycommission.be/nl/aanbevelingen-cbpl Over de registratie van de reden van de raadpleging van het Rijksregister door de personeelsleden van de gemeenten Adequaat informatieveiligheidsbeleid implementeren Met een gedetailleerd loggingsmechanisme Onregelmatige raadplegingen van het Rijksregister detecteren Logbestand moet bevatten: Identificatie van het personeelslid dat raadpleegt Welke gegevens werden wanneer geraadpleegd Waarom werden de gegevens geraadpleegd

LOKALE BESTUREN EN INFORMATIEBEVEILIGING (5)! VTC: Overzicht van steden en gemeenten die een informatieveiligheidsconsulent hebben aangesteld en waarvoor de VTC een positief advies heeft gegeven. Het is mogelijk dat er gemeenten en steden zijn die een informatieveiligheidsconsulent hebben aangesteld maar dat (nog) niet aan de Vlaamse Toezichtcommissie gemeld hebben. Indien deze gemeenten dat willen nuanceren in het overzicht, kunnen ze dat aan het secretariaat van de Vlaamse Toezichtcommissie melden: toezichtcommissie@vlaanderen.be http://vtc.corve.be/docs/Overzicht%20gemeenten%20met%20informatieveiligheidsconsulent%20voor%20web%20VTC.pdf

NIEUW: aanwijzing functionaris gegevensbescherming (DPO) Art. 37 AVG = Verplichting voor publieke sector: De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin: a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan Aanspreekpunt voor betrokkenen Onafhankelijkheid Geheimhouding/ vertrouwelijkheid Combinatie met andere taken voorzover geen belangenconflict Naar behoren en tijdig betrekken Ondersteuning + toegang + voldoende middelen Geen instructies en niet ontslaan of straffen voor de uitvoering van zijn taken Zowel intern als extern Mogelijk 1 DPO voor meerdere entiteiten

De AVG: NIEUW: aanwijzing functionaris gegevensbescherming (DPO) (2) De verantwoordelijke, de verwerker en de medewerkers informeren en adviseren over verplichtingen Toezien op naleving van de AVG (de beginselen, de rechten, …) + het beleid van de verwerkingsverantwoordelijke of de verwerker m.b.t. de bescherming van persoonsgegevens Bewustmaking en opleiding personeel en audits Advies m.b.t. PIA en toezien op uitvoering Samenwerking met DPA Optreden als contactpunt voor DPA Rekening houden met de risico’s die aan verwerking zijn verbonden, alsook aard, omvang, context en doelen van verwerking https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_04_2017_0.pdf (24 mei 2017)

Nog andere algemene machtigingen om gegevens uit het kadaster op te vragen (FO nr 04/2017 van 9 maart 2017) om van DIV persoonsgegevens te krijgen (FO nr 18/2015 van 28 mei 2015) enkel in het kader van GAS-boetes in het kader van parkeerretributies zijn er twee algemene machtigingen: Er is een algemene machtiging om aan gemeenten, hun concessiehouders en de autonome gemeentebedrijven om persoonsgegevens uit DIV te halen (FO nr 14/2016 van 21 januari 2016) Er is een algemene machtiging voor de private concessiehouders van de Vlaamse steden en gemeenten en de Vlaamse gemeentelijke verzelfstandigde agentschappen betreffen om persoonsgegevens uit DIV te halen (FO nr 02/2016 van 21 januari 2016)

Nog andere algemene machtigingen (2) Om aan te sluiten moet men de bij de betreffende beraadslaging de volgende documenten voor aansluiting tot de machtiging in kwestie bezorgen aan SCFO: Documenten die bij het verzoek tot aansluiting bij de algemene machtiging moeten worden gevoegd : toelichting + evaluatievragenlijst kandidaat-veiligheidsconsulent; conformiteitsverklaring beveiliging informatiesysteem; modelbrief voor aansluiting bij deze machtiging. Bij de algemene machtigingen staat dit netjes opgelijst telkens onder de betreffende bovengenoemde beraadslagingen: https://www.privacycommission.be/nl/algemene- machtigingen-fo Zodra aangesloten, wordt de gemeente als begunstigde van de algemene machtiging op de website gepubliceerd.

Nog andere algemene machtigingen (3) Om toegang te hebben tot de mededeling van het recht op verhoogde tegemoetkoming uit de KSZ : https://www.privacycommission.be/sites/privac ycommission/files/documents/beraadslaging_AS Z_029_2011.pdf . Men moet wel een officiële schriftelijke vraag indienen bij de KSZ. Zie de https://www.ksz- bcss.fgov.be/nl/diensten-en- support/diensten/voordelen-toegekend-door-de- gemeenten-en-provincies . Hierbij vermelden dat de gegevensstroom via de Vlaamse Dienstenintegrator (VDI) zal verlopen.

Nog andere algemene machtigingen (4) Ingevolge artikel 7 VDI-decreet kan de VDI aan een gemeente pas toegang verlenen conform voornoemde KB’s of de algemene machtigingen (van SCRR, SCFO, SCSZ) voorzover de gemeente in kwestie voldoet aan o.a. de veiligheidsvereisten: beschikken over een veiligheidsconsulent en veiligheidsbeleid dat door het bevoegde comité gunstig werd beoordeeld. Verwerking van de persoonsgegevens: altijd volgens de modaliteiten van de machtiging

AVG: Stand van zaken federale niveau Op 20 juli 2017 is WETSONTWERP tot oprichting van de Gegevensbeschermingsautoriteit door de federale ministerraad goedgekeurd. Ontwerp nu bij de Kamer. Volgens deze ontwerptekst: Het stelsel van machtigingen door de sectorale comités binnen de CBPL wordt afgeschaft De bestaande machtigingen blijven gelden Na de inwerkingtreding van de wet (vermoedelijk 25 mei 2018) zal men niet meer kunnen aansluiten op een algemene machtiging https://www.dekamer.be/flwb/pdf/54/2648/54K2648001.pdf

De AVG: Verantwoordingsplicht = Accountability (art De AVG: Verantwoordingsplicht = Accountability (art. 24): risk-based approach de verwerkingsverantwoordelijke is nu actief verantwoordelijk opdat de gegevensverwerkingen overeenkomstig de AVG gebeuren én kan dat aantonen=verantwoorden Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen én te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

Kiezen van de verwerker !!! Art. 28 AVG verwerking regelen in een overeenkomst, met onder meer volgende punten: de doeleinden van de gegevensverwerking het soort persoonsgegevens de categorieën van betrokkenen het passend beveiligen van de gegevens het uitvoeren van audits het na afloop vernietigen of terug leveren van de gegevens aan de verantwoordelijke de verwerkingsverantwoordelijke moet de controle bewaren en de verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke De verwerking door de verwerker verloopt conform de AVG

De AVG: NIEUW: register van verwerkingsactiviteiten !!! Art. 30 AVG zowel door de verantwoordelijke als de verwerker een schriftelijk / elektronisch register bijhouden omschrijving van alle activiteiten waarbij persoonsgegevens worden verwerkt. O.a.: contactgegevens de doeleinden/ de categorieën van de gegevensverwerking een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens de categorieën van ontvangers van de gegevens indien mogelijk de beoogde bewaartermijnen indien mogelijk een beschrijving van de beveiligingsmaatregelen doorgifte aan derde landen

De AVG: NIEUW: kennisgeving veiligheidsincidenten! Art. 33 AVG indien inbreuk i.v.m. persoonsgegevens de verwerkingsverantwoordelijke meldt deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. indien een inbreuk i.v.m. persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen de verwerkingsverantwoordelijke deelt de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee

De AVG: NIEUW: toezicht en sancties één of meer toezichthoudende autoriteiten (DPA) per lidstaat Burgerlijke aansprakelijkheid Via procedure voor rechtbank Administratieve sancties en geldboetes Via klacht bij toezichthoudende autoriteit Strafrechtelijke verantwoordelijkheid Via klacht bij parket of onderzoeksrechter

De AVG: NIEUW: toezicht en sancties (2) Administratieve sancties en geldboetes: via klacht bij DPA Administratieve sancties: Berisping Bevel om verzoeken betrokkene tot uitoefening rechten in te willigen Bevel om inbreuk op beveiliging mee te delen aan betrokkene Opleggen van tijdelijke of definitieve beperking van verwerking, met inbegrip van verbod Administratieve geldboetes bij overtreding tot 20.000.000 EUR (voor een onderneming tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar) elke lidstaat kan regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen elke lidstaat stelt de regels vast inzake andere sancties die van toepassing zijn op inbreuken die niet aan administratieve geldboeten onderworpen zijn

CONCLUSIE : TO DO VEILIGHEIDSCONSULENT VEILIGHEIDSPLAN AANSLUITEN ALGEMENE MACHTIGINGEN Na de inwerkingtreding van de wet tot oprichting van de Gegevensbeschermingsautoriteit is geen toetreding meer mogelijk tot een algemene machtiging

Vragen?