KSZ-BCSS Wet Verwerking Persoonsgegevens en de werking van de sectorale comités 8 MEI 2006 Kruispuntbank van de Sociale Zekerheid

Recht op bescherming van de persoonlijke levenssfeer artikel 22 van de Grondwet: «Ieder heeft recht op eerbiediging van zijn privéleven […].» algemeen principe verder uitgewerkt in diverse wetten Wet 8 december 1992 regelt het aspect verwerking van persoonsgegevens géén allesomvattende «Privacywet» Artikel 12 van de Universele Verklaring van de rechten van de mens: «Niemand zal het voorwerp zijn van willekeurige inmengingen in zijn privaat leven […]. Eenieder heeft het recht op de bescherming van de wet tegen dergelijke inmengingen […].» Artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten: «Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven […]. Eenieder heeft recht op bescherming door de wet tegen zodanige inmenging […].» Artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden: «Eenieder heeft recht op eerbiediging van zijn privéleven […].» Artikel 22 van de Grondwet: «Ieder heeft recht op eerbiediging van zijn privéleven […].» Het betreft teksten die het recht op de bescherming van de persoonlijke levenssfeer op een algemene/vage wijze erkennen; de wet van 8 december 1992 heeft specifiek/concreet betrekking op de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (deelgebied - zie ook wetgeving over afluisteren van telefoongesprekken,...).

Historiek (1/3) Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens De Europese Gemeenschap/Unie steunt op het vrije verkeer van goederen, personen, diensten en kapitaal. Probleem: vrij verkeer van persoonsgegevens binnen de Europese Gemeenschap/Unie versus bescherming van de persoonlijke levenssfeer. Indien gegevens binnen de Europese Gemeenschap/Unie circuleren, moet er een waarborg zijn dat elke lidstaat een zeker beschermingsniveau garandeert (wat heeft het voor zin dat bv. België een streng beleid zou voeren, als de gegevens worden overgemaakt aan een ander Europees land waar geen bescherming wordt geboden?). Richtlijn: elke lidstaat van de Europese Gemeenschap/Unie moet tegen 24 oktober 1998 een bepaald beschermingsniveau bieden op het vlak van de verwerking van persoonsgegevens om aldus het vrije verkeer van die gegevens binnen de Gemeenschap/Unie mogelijk te maken.

Historiek (2/3) Wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG Koninklijk besluit van 13 februari 2001 (uitvoering van de wet van 8 december 1992) Wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 (CBPL) Koninklijk besluit van 17 december 2003 (sectorale comités van de CBPL) De Richtlijn werd in Belgische wetgeving omgezet door een wet van 11 december 1998 die de nodige wijzigingen heeft aangebracht aan de WVP van 1992. Die wijzigende wet is inmiddels in werking getreden (op 1 september 2001). Het “uitvoeringsbesluit“ is één allesomvattend KB dat de vroegere KB’s (een tiental - deze worden hier niet meer besproken) heeft opgeheven en ook de inwerkintreding van de wet van 11 december 1998 heeft geregeld. De bepalingen van de WVP die betrekking hebben op de samenstelling en het statuut van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer werden grondig gewijzigd bij de wet van 26 februari 2003. Er wordt onder meer voorzien in de oprichting van diverse sectorale comités waarvan de samenstelling en de werking wordt geregeld in het KB van 17 december 2003.

Historiek (3/3) enkele specifieke wetten Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen

gecoördineerde versie beschikbaar op KSZ-BCSS Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens gecoördineerde versie beschikbaar op http://www.privacycommission.be/normatieve_teksten.htm 24/05/2006 6 Kruispuntbank van de Sociale Zekerheid

Definities persoonsgegevens (art. 1, § 1) verwerking (art. 1, § 2) bestand (art. 1, § 3) verantwoordelijke voor de verwerking (art. 1, § 4) verwerker (art. 1, § 5) derde (art. 1, § 6) ontvanger (art. 1, § 7) toestemming v/d betrokkene (art. 1, § 8) De term “persoonlijke levenssfeer” zelf wordt niet gedefinieerd.

Persoonsgegevens iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon informatie m.b.t. natuurlijke persoon geïdentificeerd of (direct of indirect) identificeerbaar aan de hand van een identificatienummer aan de hand van andere specifieke elementen “iedere informatie”: ruim begrip. “natuurlijke persoon”: lijkt evident; géén bescherming van de persoonlijke levenssfeer van rechtspersonen (ondernemingen, VZW’s, feitelijke verenigingen,…). “geïdentificeerd of identificeerbaar”: aan de hand van een identificatienummer (bv. het rijksregisternummer dat door de sociale zekerheid wordt gebruikt als Identificatienummer Sociale Zekerheid: INSZ) of andere elementen die kenmerkend zijn voor de identiteit van de betrokkene (lichamelijke, psychische, economische, sociale, culturele kenmerken).

Verwerking elke bewerking of elk geheel van bewerkingen m.b.t. persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés verzamelen bewaren bijwerken wijzigen verspreiden met elkaar in verband brengen ... Het dient niet noodzakelijk te gaan om geautomatiseerde verwerkingen. Ook louter “papieren verwerkingen” (bv. fiches en steekkaarten) vallen onder het toepassingsgebied van de WVP - de aldus verwerkte gegevens moeten dan wel bestemd zijn voor een bestand (zie verder), d.w.z. dat ze volgens bepaalde criteria toegankelijk moeten zijn. Elke bewerking of elk geheel van bewerkingen (voor een aantal voorbeelden: zie de wet).

Bestand elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn gestructureerd geheel van persoonsgegevens logische ordening maakt systematische raadpleging van de gegevens mogelijk toegankelijk volgens bepaalde criteria naam rijksregisternummer/KSZ-nummer ... Bv. uit een steekkaartenbak waarin fiches zijn opgenomen op naam en in alfabetische volgorde (structuur) kan informatie over een bepaalde persoon worden gehaald aan de hand van diens familienaam (criterium). Bv. een adreskaartje wordt achteloos in een lade gegooid; door het ontbreken van structuur (het kaartje maakt geen onderdeel uit van een verzameling kaartjes die op een bepaalde wijze zijn samengevoegd) en toegangscriterium (informatie over de betrokkene kan niet onmiddellijk worden geraadpleegd aan de hand van een bepaald criterium) gaat het niet om een bestand.

Verantwoordelijke / verwerker verantwoordelijke voor de verwerking: de (al dan niet natuurlijke) persoon die (alleen of samen met anderen) het doel en de middelen voor de verwerking van persoonsgegevens bepaalt verwerker: de (al dan niet natuurlijke) persoon die ten behoeve van de verantwoordelijke voor de verwerking persoonsgegevens verwerkt ( de persoon die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd is om persoonsgegevens te verwerken) Verantwoordelijke voor de verwerking - natuurlijke persoon, rechtspersoon, feitelijke vereniging, openbaar bestuur (m.a.w. elke mogelijke entiteit); - bepaalt het doel en de middelen van de verwerking (het doel is het centrale thema van de WVP - een verwerking bestaat maar omdat ze een bepaald doeleinde dient). Verwerker - “onderaannemer” (bv. de SmalS-MvM verwerkt gegevens voor rekening van een aantal instellingen van sociale zekerheid); - NIET de werknemers van de verantwoordelijke.

Derde / ontvanger derde: elke (al dan niet natuurlijke) persoon, andere dan de betrokkene de verantwoordelijke voor de verwerking de verwerker de persoon die onder het rechtstreeks gezag van de verantwoordelijke voor de verwerking of de verwerker gemachtigd is om de gegevens te verwerken ontvanger: de (al dan niet natuurlijke) persoon aan wie de gegevens worden meegedeeld ruim begrip al dan niet een “derde” De werknemers van de verantwoordelijke voor de verwerking (bijvoorbeeld de Rijksdienst voor Sociale Zekerheid) en de verwerker (bijvoorbeeld de SmalS-MvM) kunnen niet als derden bestempeld worden. Zowel derden als niet-derden kunnen “ontvanger” zijn in de zin van de wet van 8 december 1992.

Algemeen principe (art. 2) iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens […] recht op […] bescherming van zijn persoonlijke levenssfeer géén definitie van het begrip “persoonlijke levenssfeer” residuaire rechtsgrond Zie het in het begin van de uiteenzetting vermelde principe uit een aantal internationale teksten en de Grondwet. Residuaire rechtsgrond: slechts indien men in de WVP geen enkele concrete bepaling vindt waarop men een beroep kan doen (zie hierna: rechten van de betrokkene / plichten van de verantwoordelijke), kan men gebruik maken van artikel 2 (algemeen/vaag).

Materieel toepassingsgebied van de wet (art. 3, § 1) geautomatiseerde verwerkingen van persoonsgegevens niet-geautomatiseerde verwerkingen van persoons-gegevens opgenomen in een bestand bestemd voor opname in een bestand Ruim toepassingsgebied: geautomatiseerde én niet-geautomatiseerde verwerkingen (wel: bestandsvoorwaarde => de gegevens moeten gestructureerd zijn en volgens bepaalde criteria toegankelijk zijn). Bijvoorbeeld: steekkaartenbak waarin per betrokkene een kaart met informatie is opgenomen, die via de naam van de betrokkene vlot achterhaald kan worden.

Volledig uitgesloten verwerkingen (art. 3, § 2) verwerkingen door een natuurlijke persoon voor uitsluitend persoonlijke of huishoudelijke doeleinden enkel verwerkingen door een natuurlijke persoon (niet door een onderneming, een feitelijke vereniging,…) voor uitsluitend persoonlijke of huishoudelijke doeleinden (bv. correspondentie en bijhouden van adressenbestanden) dus NIET: persoonsgegevens die door een werknemer thuis worden verwerkt voor zijn bedrijf (adressen van zakenrelaties of klanten), examenresultaten bewaard door een leraar,... Voorwaarden - enkel voor verwerkingen door natuurlijke personen (niet voor verwerkingen door rechtspersonen of feitelijke verenigingen) - enkel voor persoonlijke/huishoudelijke doeleinden, dus NIET: persoonsgegevens die door een werknemer thuis worden verwerkt voor zijn bedrijf (adressen van zakenrelaties of klanten), examenresultaten bewaard door een leraar,...

Gedeeltelijk uitgesloten verwerkingen (art. 3, §§ 3-6) voor uitsluitend journalistieke/artistieke/literaire doeleinden door bepaalde overheden (Staatsveiligheid, politie,…) door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen gedeeltelijk uitgesloten onder bepaalde voorwaarden zijn bepaalde artikelen van de WVP niet van toepassing op deze verwerkingen Bepaalde verwerkingen zijn onder bepaalde voorwaarden niet onderworpen aan bepaalde artikelen van de WVP (voornamelijk de artikelen met betrekking tot enerzijds de informatieplicht van de verantwoordelijke en anderzijds het recht op mededeling, verbetering, verzet, verwijdering en niet-aanwending van de betrokkene - het recht op mededeling,... kan eventueel wel onrechtstreeks worden uitgeoefend, via de CBPL - zie verder).

Territoriaal toepassingsgebied (art. 3bis) verwerkingen in het kader van de activiteiten van een vaste vestiging van de verantwoordelijke op Belgisch grondgebied op een plaats waar de Belgische wet van toepassing is verwerkingen door een verantwoordelijke zonder vaste vestiging in EG indien gebruik wordt gemaakt van middelen op het Belgisch grondgebied ( de middelen uitsluitend bestemd voor doorvoer) Band met België - verwerking op Belgisch grondgebied; - verwerking op een plaats waar de Belgische wet van toepassing is; - gebruik van middelen op Belgisch grondgebied.

Principes (art. 4) eerlijkheid en rechtmatigheid doelbinding (finaliteit) evenredigheid (proportionaliteit), waaronder redelijke bewaarduur nauwkeurigheid Finaliteit en proportionaliteit: persoonsgegevens mogen slechts worden verwerkt voor duidelijk omschreven en wettige doeleinden en mogen niet worden gebruikt op een wijze die onverenigbaar is met die doeleinden. Zij dienen, uitgaande van die doeleinden, toereikend, ter zake dienend en niet overmatig te zijn. Voorbeelden - een universiteit mag gegevens betreffende (oud-)studenten aanwenden voor het aankondigen van studiedagen, reünies,… maar niet om een professor in staat te stellen verkiezingspropaganda te voeren (onverenigbaar met aanvankelijk doeleinde); - een werkgever mag de gegevens uit de personeelsadministratie aanwenden voor het versturen van uitnodigingen voor een personeelsfeest maar mag ze niet verkopen aan een postorderbedrijf; - een bank die ook verzekeringen verkoopt, mag de gegevens van haar klanten niet gebruiken om hen verzekeringen aan te smeren (in concreto: raadpleging van de overschrijvingen aan de verzekeringsmaatschappijen).

Doelbinding, evenredigheid en nauwkeurigheid verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden zowel bij verwerving van de gegevens als bij verdere verwerking (verenigbaarheid met initieel doeleinde, rekening houdend met redelijke verwachtingen van de betrokkene en de wetgeving) evenredigheid gegevens moeten toereikend, ter zake dienend en niet overmatig zijn gegevens mogen niet langer bewaard worden dan nodig voor de verwezenlijking van het doeleinde van de verwerking nauwkeurigheid gegevens moeten nauwkeurig zijn en zo nodig worden bijgewerkt

Verwerking is slechts toegestaan (art. 5) (1/2) wanneer de betrokkene zijn ondubbelzinnige toestemming heeft verleend wanneer ze noodzakelijk is voor de uitvoering van een overeenkomst of van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen wanneer ze noodzakelijk is om een wettelijke verplichting na te komen wanneer ze noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend (onder "toestemming van de betrokkene" wordt verstaan elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene of zijn wettelijke vertegenwoordiger aanvaardt dat persoonsgegevens betreffende de betrokkene worden verwerkt) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen (bv. het registreren van een bestelling die door de betrokkene wordt gedaan) wanneer de verwerking noodzakelijk is om een wettelijke verplichting na te komen (bv. om recht te hebben op bepaalde socialezekerheidsuitkeringen moeten bepaalde gegevens over derden - personen waarmee de betrokkene samenwoont - worden meegedeeld)

Verwerking is slechts toegestaan (art. 5) (2/2) wanneer ze noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag wanneer ze noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke/derde, mits het belang of de fundamentele rechten en vrijheden van de betrokkene niet zwaarder doorwegen (belangenafweging !) wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene (een belang dat voor het leven van de betrokkene essentieel is) wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worden verstrekt (bv. verwerken van gegevens door socialezekerheidsinstellingen en de fiscus) wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen (afweging van belangen/rechten) De bepalingen van de artikelen 4 en 5 moeten samen gelezen worden: indien de verwerking mogelijk is volgens artikel 5, moet worden gewaakt over de naleving van de principes uit artikel 4.

Bijzondere verwerkingen: principieel verbod gevoelige gegevens (art. 6) gezondheidsgegevens (art. 7) gerechtelijke gegevens (art. 8)

Gevoelige gegevens (art. 6) persoonsgegevens met betrekking tot de raciale of etnische afkomst de politieke opvattingen de godsdienstige of levensbeschouwelijke overtuiging het lidmaatschap van een vakvereniging het seksuele leven principieel verwerkingsverbod => uitzonderingen na schriftelijke toestemming van de betrokkene nodig in kader van arbeidsrechtelijke verplichtingen of voor de toepassing van de sociale zekerheid wanneer om een belangrijke reden van publiek belang toegelaten door een wet, een decreet of een ordonnantie … Gevoelige gegevens (waaronder voorheen ook het lidmaatschap van een ziekenfonds - zie oud artikel 6) mogen door de socialezekerheidsinstellingen worden verwerkt voor zover natuurlijk de principes uit artikel 4 worden gerespecteerd (voornamelijk finaliteit en proportionaliteit). De bepalingen van de artikelen 4 en 6 moeten dus samen gelezen worden.

Gezondheidsgegevens (art. 7) (1/2) geen definitie principieel verwerkingsverbod => uitzonderingen na schriftelijke toestemming van de betrokkene nodig voor preventieve geneeskunde, medische diagnose, verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten, mits onder toezicht van een beroepsbeoefenaar in de gezondheidszorg nodig in kader van arbeidsrechtelijke verplichtingen of voor de toepassing van de sociale zekerheid wanneer om redenen van zwaarwegend algemeen belang verplicht door of krachtens een wet, een decreet of een ordonnantie … moeten in principe worden ingezameld bij de betrokkene zelf Kruispuntbankwet - "sociale gegevens van persoonlijke aard die de gezondheid betreffen": alle sociale gegevens van persoonlijke aard waaruit informatie kan worden afgeleid omtrent de vroegere, huidige of toekomstige fysieke of psychische gezondheidstoestand van de natuurlijke persoon die is of kan worden geïdentificeerd, met uitzondering van de louter administratieve of boekhoudkundige gegevens betreffende de geneeskundige behandelingen of verzorging. Gezondheidsgegevens mogen door de socialezekerheidsinstellingen worden verwerkt voor zover natuurlijk de principes uit artikel 4 worden gerespecteerd (voornamelijk finaliteit en proportionaliteit). De bepalingen van de artikelen 4 en 7 moeten dus samen gelezen worden.

Gezondheidsgegevens (art. 7) (2/2) mogen enkel worden verwerkt onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg => uitzonderingen na schriftelijke toestemming van de betrokkene wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk recht op mededeling (art. 10) rechtstreeks met behulp van een beroepsbeoefenaar in de gezondheidszorg wanneer de betrokkene of de verantwoordelijke hierom verzoeken Het begrip “beroepsbeoefenaar in de gezondheidszorg” is niet gedefinieerd; dit kan gebeuren bij koninklijk besluit. De term lijkt alvast ruimer dan het vroeger gebruikte “beoefenaar van de geneeskunst” (hiermee wordt enkel bedoeld: artsen, tandartsen, apothekers en vroedvrouwen). Ook hier moet opgemerkt worden dat de principes uit artikel 4 dienen te worden nageleefd: aangezien de beroepsbeoefenaar eveneens gebonden is door de principes van finaliteit en proportionaliteit, lijkt het weinig waarschijnlijk dat bv. een psychiater kennis zal kunnen nemen van gegevens aangaande een zware beenbreuk. Aldus wordt gegarandeerd dat niet om het even welke beroepsbeoefenaar in de gezondheidszorg door de verantwoordelijke voor de verwerking kan worden in dienst genomen voor de verwerking van gezondheidsgegevens.

Gerechtelijke gegevens (art. 8) persoonsgegevens inzake geschillen verdenkingen vervolgingen veroordelingen administratieve sancties veiligheidsmaatregelen principieel verwerkingsverbod => uitzonderingen wanneer de verwerking noodzakelijk is voor de verwezenlijking van wettelijk vastgestelde doeleinden … Het verbod om gerechtelijke persoonsgegevens te verwerken, is niet van toepassing op verwerkingen: a) onder toezicht van een openbare overheid of van een ministeriële ambtenaar in de zin van het Gerechtelijk Wetboek, indien de verwerking noodzakelijk is voor de uitoefening van hun taken; b) door andere personen, indien de verwerking noodzakelijk is voor de verwezenlijking van doeleinden die door of krachtens een wet, een decreet of een ordonnantie zijn vastgesteld; c) door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen inzoverre dat noodzakelijk is voor het beheer van hun eigen geschillen; d) door advocaten of andere juridische raadgevers inzoverre de verwerking noodzakelijk is voor de verdediging van de belangen van de cliënten; e) die noodzakelijk zijn voor het wetenschappelijk onderzoek en verricht worden onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.

Rechten van de betrokkene (1/2) recht op bescherming van de persoonlijke levenssfeer (art. 2) vormt een residuaire rechtsgrond recht op informatie bij inzameling van gegevens bij de betrokkene (art. 9, § 1) bij registratie/mededeling van gegevens (art. 9, § 2) recht op kennisname en mededeling (art. 10) recht op verbetering (art. 12, § 1, eerste lid) recht op verzet (art. 12, § 1, tweede en derde lid)

Rechten van de betrokkene (2/2) recht op verwijdering en niet-aanwending (art. 12, § 1, vijfde lid) recht om niet onderworpen te worden aan bepaalde geautomatiseerde besluiten (art. 12bis) recht op verhaal: bij de rechter (art. 14 + strafbepalingen) bij de CBPL (art. 31) recht op inzage van het CBPL-register (art. 18)

Recht op informatie mededeling van informatie aangaande de verwerking de identiteit van de verantwoordelijke de doeleinden van de verwerking het bestaan van een recht op kosteloos verzet bij direct marketing (zie verder) andere bijkomende informatie opgelegd bij koninklijk besluit bij inzameling van gegevens bij de betrokkene zelf behalve indien de betrokkene reeds op de hoogte is bij registratie/mededeling van gegevens behalve indien de registratie/mededeling gebeurt voor onderzoeks-doeleinden en de kennisgeving onmogelijk blijkt of onevenredig veel moeite kost behalve indien de registratie/mededeling gebeurt met het oog op de toepassing van een wettelijke bepaling Recht op informatie - voorbeelden. - wedstrijd georganiseerd door een krant of tijdschrift - de betrokkene vermeldt op het deelnemingsformulier bepaalde identiteitsgegevens (naam, adres, leeftijd,…) - hij dient dadelijk geïnformeerd te worden - in de praktijk: clausule in kleine letters op het einde van het formulier “Uw gegevens werden opgenomen in ons bestand…” - inschrijvingsformulier voor een studiedag/lessenreeks - andere formulieren

Recht op kennisname/mededeling heeft betrekking op het al dan niet bestaan van een verwerking algemene informatie over de verwerking (doeleinden, categorieën gegevens, categorieën ontvangers) de concrete gegevens (in begrijpelijke vorm) informatie over de oorsprong van de gegevens de logica van de geautomatiseerde besluitvorming de andere hogervermelde rechten van de betrokkene gedagtekend en ondertekend verzoek antwoord binnen max. 45 dagen redelijke termijn voor nieuwe aanvraag specifieke regeling gezondheidsgegevens (zie hoger) Redelijke termijn voor een nieuwe aanvraag: de betrokkene kan zich niet onbeperkt tot dezelfde verantwoordelijke wenden met een verzoek tot mededeling van de hem betreffende gegevens; hij moet het recht “in redelijkheid” uitoefenen. Gezondheidsgegevens kunnen rechtstreeks aan de betrokkene worden meegedeeld. Op verzoek van de verantwoordelijke voor de verwerking of van de betrokkene zelf, kan de mededeling echter gebeuren via een beroepsbeoefenaar in de gezondheidszorg die wordt aangeduid door de betrokkene.

Recht op verbetering van onjuiste gegevens gedagtekend en ondertekend verzoek kosteloos antwoord binnen max. 1 maand mededeling van de verbeteringen aan de personen aan wie de onjuiste gegevens werden meegedeeld voor zover de verantwoordelijke nog kennis heeft van de bestemmelingen voor zover de kennisgeving aan de bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost

Recht op verzet om zwaarwegende en gerechtvaardigde redenen niet mogelijk tegen verwerkingen noodzakelijk voor het sluiten/uitvoeren van een overeenkomst het nakomen van een wettelijke verplichting gegevens verkregen voor direct marketing verzet is kosteloos verzet moet niet gemotiveerd worden gedagtekend en ondertekend verzoek antwoord binnen max. 1 maand

Recht op verwijdering en niet-aanwending heeft betrekking op gegevens die onvolledig of niet ter zake dienend zijn waarvan registratie/mededeling/bewaring verboden is die na verloop van de toegestane duur worden bewaard gedagtekend en ondertekend verzoek / kosteloos antwoord binnen max. 1 maand mededeling van de verwijderingen aan de personen aan wie de gegevens werden meegedeeld voor zover de verantwoordelijke nog kennis heeft van de bestemmelingen voor zover de kennisgeving aan de bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost

Recht van niet-onderwerping aan bepaalde geautomatiseerde besluiten waaraan voor een persoon rechtsgevolgen verbonden zijn die een persoon in aanmerkelijke mate treffen mogen niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren geldt niet voor besluiten genomen in het kader van een overeenkomst of een wettelijke bepaling (wel: passende maatregelen voorzien) Deze bepaling heeft betrekking op geautomatiseerde beslissingssystemen waarmee scores of andere resultaten worden gegenereerd met een rechtstreekse weerslag op de betrokkene (bv. m.b.t. het toestaan van een krediet). De bepaling wil vermijden dat zonder enige menselijke interventie beslissingen rechtstreeks worden genomen op grond van een resultaat van een geautomatiseerde verwerking - een minimale menselijke tussenkomst is nodig.

Recht op verhaal bij de voorzitter van de rechtbank van eerste aanleg schending van de rechten op kennisname/mededeling, verbetering, verzet en verwijdering/niet-aanwending bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer schending van elke bepaling van de WVP bij de strafrechter schending van de strafbepalingen (artikelen 37-43 van de WVP)

Recht op inzage van het CBPL-register register van de geautomatiseerde verwerkingen van persoonsgegevens bevat informatie uit de aangiften (art. 17) staat ter inzage van eenieder

Uitoefening van bepaalde rechten bij CBPL (art. 13) gedeeltelijk uitgesloten verwerkingen door bepaalde overheden (Staatsveiligheid, politie,…) door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen uitoefening van de rechten op kennisname/mededeling, verbetering, verzet en verwijdering/niet-aanwending gebeurt via de CBPL kosteloos

Verplichtingen van de verantwoordelijke (1/4) naleven principes (art. 4) informatieverstrekking (art. 9) bij inzameling van gegevens bij de betrokkene (art. 9, § 1) bij registratie/mededeling van gegevens (art. 9, § 2) mededeling van het betwist karakter van een gegeven (art. 15) aansprakelijkheid voor schade (art. 15bis)

Verplichtingen van de verantwoordelijke (2/4) controle op de verwerker (art. 16, § 1) een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de uitgewerkte beveiligingsmaatregelen toezien op de naleving van de uitgewerkte beveiligingsmaatregelen in het contract met de verwerker opnemen de uitgewerkte beveiligingsmaatregelen de aansprakelijkheid van de verwerker de beperkte bevoegdheid van de verwerker de verwerker handelt slechts in opdracht van de verantwoordelijke de verwerker heeft dezelfde verplichtingen als de verantwoordelijke

Verplichtingen van de verantwoordelijke (3/4) bijwerking, verbetering en verwijdering van de persoonsgegevens (art. 16, § 2, 1°) ten aanzien van de medewerkers toegangs- en bevoegdheidsbeperking (art. 16, § 2, 2°) verstrekking van informatie m.b.t. de gegevensbeschermende bepalingen (art. 16, § 2, 3°) controle m.b.t. computerprogramma’s (art. 16, § 2, 4°) conformiteit met de aangifte aan de CBPL rechtmatig gebruik

Verplichtingen van de verantwoordelijke (4/4) verplichting voor de medewerkers: verwerking enkel in opdracht van de verantwoordelijke (art. 16, § 3) nemen van de gepaste technische en organisatorische veiligheidsmaatregelen (art. 16, § 4) voorkomen van vernietiging, verlies, wijziging,... passend beveiligingsniveau vergt afweging stand van de techniek en kosten van de maatregelen aard van de gegevens en potentiële risico’s aangifte aan de CBPL (art. 17)

Aangifte aan de CBPL (1/2) voor elk doeleinde (of geheel van samenhangende doeleinden) waarvoor tot één of meer (volledig of gedeeltelijk) geautomatiseerde verwerkingen wordt overgegaan, is een aangifte vereist voorafgaandelijk aan de verwerking ontvangstbewijs CBPL binnen de drie werkdagen inhoud van de aangifte: zie art. 17, §§ 3 en 6 nieuwe aangifte bij wijziging van de aangegeven informatie beëindiging van de verwerking

Aangifte aan de CBPL (2/2) vrijstellingen voor verwerkingen die kennelijk geen gevaar inhouden voor schending van de persoonlijke levenssfeer moeten bepaald worden bij koninklijk besluit KB van 13/02/2001 bevat voorwaardelijke vrijstellingen verwerkingen voor personeels- en loonadministratie en boekhouding verwerkingen voor administratie van aandeelhouders en vennoten verwerkingen voor beheer van klanten en leveranciers verwerkingen voor communicatiedoeleinden en bezoekersregistratie verwerkingen door instellingen zonder winstoogmerk verwerkingen door onderwijsinstellingen voor beheer van leerlingen en studenten verwerkingen door gemeenten voor beheer van registers verwerkingen door administratieve overheden indien specifiek geregeld verwerkingen door instellingen van sociale zekerheid dan wel de inlichtingen vermeld in art. 17, §§ 3 en 6, meedelen aan iedereen die daarom verzoekt Vrijstelling voor verwerkingen van persoonsgegevens door instellingen van sociale zekerheid die de toepassing van de sociale zekerheid tot doel hebben, op voorwaarde dat deze instellingen van sociale zekerheid voldoen aan de Kruispuntbankwet. De Kruispuntbank moet ingevolge de Kruispuntbankwet een lijst van deze verwerkingen bijhouden en deze lijst ter beschikking houden van de Commissie. De Commissie verricht op grond van deze lijst de bijwerkingen van het openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens.

Doorgifte van persoonsgegevens naar landen buiten de EU het niet-EU-land moet een passend beschermings-niveau bieden (art. 21) de doorgifte naar een niet-EU-land dat géén passend beschermingsniveau biedt, is evenwel mogelijk in zes vermelde gevallen (art. 22, eerste lid) indien gemachtigd bij KB (art. 22, tweede lid)

CBPL - algemeen (1/2) Commissie voor de Bescherming van de Persoonlijke Levenssfeer ingesteld bij de Kamer van Volksvertegenwoordigers (art. 23) samenstelling en aanwijzing (art. 24) acht vaste leden, onder wie de voorzitter (= een magistraat) de ondervoorzitter (= van een andere taalrol dan de voorzitter) acht plaatsvervangende leden gelijk aantal Nederlandstalige en Franstalige leden benoemd voor een hernieuwbare termijn van zes jaar

CBPL - algemeen (2/2) onafhankelijkheid (art. 24) de leden moeten waarborgen bieden met het oog op een onafhankelijke uitoefening van hun opdracht (§ 4) de leden krijgen van niemand onderrichtingen (§ 6) vertrouwelijkheid (art. 33) verslag over de werkzaamheden (art. 32, § 2) wordt jaarlijks opgesteld wordt ingediend bij de Kamer van Volksvertegenwoordigers

CBPL - taken (1/2) adviezen (art. 29) - aanbevelingen (art. 30) hetzij uit eigen beweging, hetzij op verzoek van wetgevende of uitvoerende overheden omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer in het kader van de Wet Verwerking Persoonsgegevens in het kader van de wettelijke bepalingen inzake de bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens zijn met redenen omkleed

CBPL - taken (2/2) behandeling van klachten (art. 31) aard van de klachten met betrekking tot de wettelijke opdrachten van de CBPL getekend en gedateerd indien de klacht ontvankelijk is, treedt de CBPL op als bemiddelaar indien een minnelijke schikking wordt bereikt, stelt de CBPL een proces-verbaal op waarin de oplossing wordt uiteengezet indien geen minnelijke schikking wordt bereikt, geeft de CBPL een advies over de gegrondheid van de klacht of een aanbeveling recht van verdediging doet geen afbreuk aan de mogelijkheid om naar de rechtbank te stappen Ontvankelijkheid: de klacht is van die aard dat de gestelde feiten, mochten ze vaststaan, het gevorderde rechtvaardigen (= de klacht kan behandeld worden) - voorafgaand onderzoek. Gegrond: de in de klacht gestelde feiten staan vast (= de klacht was terecht) - onderzoek ten gronde.

CBPL - bevoegdheden bevoegdheden (art. 32, § 1) inschakelen van deskundigen uitvoeren van onderzoeken ter plaatse opeisen van nuttige documenten betreden van plaatsen waar vermoedelijk werkzaamheden i.v.m. de toepassing van de wet worden verricht relatie met de rechterlijke macht de CBPL doet bij de procureur des Konings aangifte van de door haar gekende misdrijven (art. 32, § 2) de voorzitter kan ieder geschil aangaande de wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen (art. 32, § 3)

Sectorale comités (art. 31bis) (1/3) opgericht binnen de CBPL o.a. bevoegd voor het machtigen van de uitwisseling van persoonsgegevens waarvoor bijzondere wetgevingen gelden sectoraal comité van de sociale zekerheid zie Kruispuntbankwet van 15 januari 1990 sectoraal comité van het Rijksregister zie Rijksregisterwet van 8 augustus 1983 sectoraal comité voor de Kruispuntbank Ondernemingen zie KBO-wet van 16 januari 2003 sectoraal comité voor de federale overheid zie artikel 36bis WVP sectoraal comité Phenix …

Sectorale comités (art. 31bis) (2/3) elke mededeling van persoonsgegevens door een federale overheidsinstelling of een instelling van sociale zekerheid vereist een voorafgaande machtiging van het bevoegde sectorale comité zolang een sectoraal comité niet is ingesteld, oefent de CBPL de opdrachten van dat sectoraal comité uit tot op heden is enkel het sectoraal comité van de sociale zekerheid ingesteld; binnenkort wordt dat van Phenix ingesteld nadere regels: zie KB van 17 december 2003 en wetgeving die het betrokken sectoraal comité instelt

Sectorale comités (art. 31bis) (3/3) typische aandachtspunten van de sectorale comités alvorens ze een machtiging tot mededeling van persoonsgegevens verstrekken toetsing beginselen van doelbinding en evenredigheid zijn de doeleinden waarvoor de mededeling wordt gevraagd welbepaald, duidelijk omschreven en wettig ? indien de mededeling wordt gevraagd door een overheidsinstelling, geschiedt dat dan in het kader van een wettelijke opdracht ? zijn de gevraagde gegevens uitgaande van die doeleinden ter zake dienend en niet overmatig ? toetsing afdoende maatregelen inzake informatieveiligheid informatieveiligheidsconsulent informatieveiligheidsplan bijzondere aandacht voor gevaren gebonden aan geïntegreerde elektronische dienstverlening

KSZ-BCSS Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid Specifieke bepalingen met betrekking tot de bescherming van de persoonlijke levenssfeer --- gecoördineerde versie beschikbaar op http://www.ksz.fgov.be/nl/Legislation/legislat_1.htm 8/5/2006 53 Kruispuntbank van de Sociale Zekerheid

Algemeen (1/2) beveiligende effecten voortvloeiend uit het concept van de Kruispuntbank geen centrale gegevensopslag voorafgaande machtiging van de uitwisseling van persoons-gegevens door een sectoraal comité verplichte passage via de Kruispuntbank van de uitwisseling van persoonsgegevens preventieve toetsing van de rechtmatigheid van de uitwisseling waarborgen van het doelbindings- en evenredigheidsbeginsel

Algemeen (2/2) organisatorische maatregelen technische maatregelen informatieveiligheidsconsulent informatieveiligheidsplan en –verslag erkende gespecialiseerde informatieveiligheidsdienst sectoraal comité van de sociale zekerheid technische maatregelen fysische beveiliging logische toegangscontrole back-upprocedures transactielogging ... strafsancties (art. 61-71)

Mededeling sociale persoonsgegevens (1/2) verplicht via Kruispuntbank (art. 14), tenzij aan de betrokkene zelf, zijn wettelijke vertegenwoordigers en de door hem gemachtigden aan personen, andere dan de ISZ, die de gegevens nodig hebben voor de toepassing van de sociale zekerheid bv. werkgevers, sociale secretariaten,… aan externe diensten voor preventie en bescherming op het werk aan aangestelden, lasthebbers, gemachtigden en onderaannemers van voorgaande twee categorieën aan buitenlandse instellingen van sociale zekerheid in het kader van internationale overeenkomsten inzake sociale zekerheid voorzien bij koninklijk besluit => zie KB van 4 februari 1997 aan eigen onderaannemers tussen instellingen van sociale zekerheid die tot hetzelfde secundair netwerk behoren in het kader van de toepassing van de sociale zekerheid tussen RIZIV en NIC/ziekenfondsen in het kader van de toepassing van de sociale zekerheid

Mededeling sociale persoonsgegevens (2/2) voorafgaande machtiging van het sectoraal comité van de sociale zekerheid vereist (art. 15) tenzij de uitwisseling gebeurt binnen het netwerk en er een uitzondering werd voorzien bij koninklijk besluit zie het KB van 4 februari 1997: geen machtiging vereist voor uitwisselingen met eigen onderaannemers mits aangifte aan sectoraal comité en Kruispuntbank: uitwisselingen van basisidentificatiegegevens uitwisselingen tussen ISZ van hetzelfde secundair netwerk in het kader van de toepassing van de sociale zekerheid uitwisselingen tussen RIZIV en NIC/ziekenfondsen in het kader van de toepassing van de sociale zekerheid tenzij mededeling van gecodeerde persoonsgegevens aan bepaalde bestemmelingen overeenkomstig art. 5, § 1

Plichten van de KSZ en de ISZ treffen van maatregelen om een perfecte bewaring van de sociale gegevens te verzekeren (art. 22) aanduiden van een veiligheidsconsulent (art. 24-25) doelstellingen veiligheid van de door de ISZ verwerkte of uitgewisselde sociale gegevens bescherming van de persoonlijke levenssfeer van de betrokkenen taken adviesverstrekking, documentatie, sensibilisering en interne audit uitvoeren van opdrachten toevertrouwd door het algemeen bestuur nadere regels: zie het KB van 12 augustus 1993 aanduiden van een geneesheer verantwoordelijk voor de behandeling, uitwisseling en bewaring van gezondheidsgegevens (art. 26)

Plichten van eenieder betrokken bij toepassing van de sociale zekerheid naleving van het doelbindingsbeginsel (art. 23) enkel gegevens nodig voor toepassing van de sociale zekerheid inzamelen gegevens enkel gebruiken voor doeleinden vastgelegd door KSZ-wet of voor het vervullen van wettelijke verplichtingen gegevens slechts bijhouden gedurende tijd nodig voor toepassing van de sociale zekerheid plicht tot informatieverstrekking over de KSZ-wet aan het personeel (art. 27) waarborgen van het beroepsgeheim (art. 28 KSZ-wet)

Sectoraal comité sociale zekerheid (1/3) art. 37-52 comité opgericht binnen de CBPL samenstelling voorzitter (= de voorzitter of een lid van de CBPL) een lid van de CBPL 3 werkende externe leden (+ 3 plaatsvervangers) 1 doctor/licentiaat in de rechten (+ 1 plaatsvervanger) 1 informaticadeskundige (+ 1 plaatsvervanger) 1 arts (+ 1 plaatsvervanger) benoeming door de Kamer voor 6 jaar onafhankelijkheid van de leden de leden krijgen van niemand onderrichtingen

Sectoraal comité sociale zekerheid (2/3) relatie met de CBPL de voorzitter van het sectoraal comité en het ander CBPL-lid zorgen voor de coördinatie tussen de werkzaamheden van beide organen de voorzitter kan de behandeling van een dossier uitstellen en het eerst aan de CBPL voor advies voorleggen opdrachten toezien op de informatieveiligheid formuleren van adviezen en aanbevelingen behandelen van klachten machtigen van gegevensuitwisselingen bijhouden van een openbare lijst van machtigingen uitgeven van een jaarlijks activiteitenverslag

Sectoraal comité sociale zekerheid (3/3) bevoegdheden inschakelen van deskundigen uitvoeren van onderzoeken ter plaatse opeisen van nuttige documenten betreden van plaatsen waar vermoedelijk werkzaamheden inzake de toepassing van de sociale zekerheid worden verricht

gecoördineerde versie beschikbaar op KSZ-BCSS Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen gecoördineerde versie beschikbaar op http://www.rijksregister.fgov.be/rrn_nl/wetgeving/nl_basiswetten.pdf 8/5/2006 63 Kruispuntbank van de Sociale Zekerheid

Doelstellingen Rijksregister (art. 1, § 2) uitwisseling van informatiegegevens tussen administraties vergemakkelijken automatische bijwerkingen van algemene gegevens over burgers in bestanden vergemakkelijken, voor zover wettelijk toegelaten gemeentelijk beheer over de bevolkingsregisters rationaliseren sommige administratieve formaliteiten die geëist worden van de burgers vergemakkelijken

Toepassingsgebied (art. 2) en organisatie Rijksregister natuurlijke personen ingeschreven in de bevolkingsregisters en de vreemdelingenregisters van de gemeenten in de registers van de diplomatieke zendingen en de consulaire posten in het buitenland in het wachtregister van de kandidaat-vluchtelingen centrale gegevensbank bij de FOD Binnenlandse Zaken

Inhoud Rijksregister (art. 3) uniek identificatienummer basisidentificatiegegevens en hun historiek naam en voornamen geboorteplaats en -datum geslacht nationaliteit hoofdverblijfplaats plaats en datum van overlijden burgerlijke staat beroep gezinssamenstelling opname in wachtregister en administratieve toestand in wachtregister wettelijke samenwoning binnenkort: afstamming het bestaan van een authentiserings- en handtekeningscertificaat voor de houders van een elektronische identiteitskaart

Toegang tot het Rijksregister (art. 5) (1/2) vergt een machtiging van het sectoraal comité van het Rijksregister machtiging kan worden verleend aan Belgische openbare overheden openbare en private instellingen van Belgisch recht belast met taken van algemeen belang onderaannemers van voorgaande categorieën notarissen gerechtsdeurwaarders orde van apothekers orde van advocaten

Toegang tot het Rijksregister (art. 5) (2/2) toegang tot wachtregister kan slechts worden verleend aan instanties aangeduid bij koninklijk besluit vroeger: machtiging bij koninklijk besluit nodig – bestaande machtigingen verleend bij koninklijk besluit blijven behouden

Gebruik van het rijksregisternummer (art. 8) vergt een machtiging van het sectoraal comité van het Rijksregister machtiging kan worden verleend aan dezelfde instanties die toegang tot het Rijksregister kunnen krijgen gebruik enkel mogelijk voor de doeleinden vermeld in de machtiging

Recht op inzage/verbetering aan de hand van de elektronische identiteitskaart of bij de gemeente ook recht op kennisname van de instanties die de gegevens gedurende de laatste zes maanden hebben geraadpleegd of bijgewerkt https://mijndossier.rrn.fgov.be

KSZ-registers Kruispuntbank beheert KSZ-registers KSZ-registers zijn complementair en subsidiair aan het Rijksregister KSZ-registers bevatten basisidentificatiegegevens aangaande personen die niet in het Rijksregister zijn opgenomen personen van wie de identificatiegegevens in het Rijksregister niet langer worden geactualiseerd zelfde soorten basisidentificatiegegevens als in het Rijksregister, met uitzondering van het beroep, de gezinssamenstelling, de wettelijke samenwoning en de afstamming toegang vergt machtiging van het sectoraal comité van de sociale zekerheid gebruik van het KSZ-nummer is vrij

gecoördineerde versie beschikbaar op KSZ-BCSS Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen (KBO) gecoördineerde versie beschikbaar op http://mineco.fgov.be/enterprises/crossroads_bank/bce_kbo_nl_009.htm 8/5/2006 72 Kruispuntbank van de Sociale Zekerheid

Doelstelling en organisatie KBO doelstelling: door de realisatie van het principe van de unieke gegevensinzameling de administratieve verplichtingen opgelegd aan ondernemingen vereenvoudigen en de werking van de overheidsdiensten efficiënter organiseren gegevensbank bij de FOD Economie, KMO, Middenstand en Energie

Inhoud KBO (1/2) uniek identificatienummer per onderneming en per vestiging basisidentificatiegegevens vastgelegd per soort entiteit en hun historiek naam of firmanaam adres van zetel en vestigingseenheden juridische vorm juridische toestand overige basisidentificatiegegevens van openbare aard te verstrekken bij inschrijving als handelaar

Inhoud KBO (2/2) verbanden tussen entiteiten onderneming – vestiging(en) onderneming/vestiging(en) - technische bedrijfseenheid onderneming - verantwoordelijke natuurlijke perso(o)n(en) verwijzing naar authentieke bronnen waar andere gegevens dan basisidentificatiegegevens bewaard worden

Toegang tot de KBO toegang tot openbare gegevens is vrij gebruik van het ondernemingsnummer is vrij toegang tot niet-openbare gegevens vergt een machtiging van het sectoraal comité KBO

Verdere informatie?

Kruispuntbank van de Sociale Zekerheid Tel. 02/741.83.66 E-mail study@ksz.fgov.be