Frank Robben

Hoe de naleving van de regelgeving inzake de bescherming van de persoonlijke levenssfeer verzoenen met een efficiënte en effectieve overheid ? Frank Robben

Structuur van de uiteenzetting • overzicht van de regelgeving • Wet Verwerking Persoonsgegevens • uitvoeringsbesluit Wet Verwerking Persoonsgegevens • werking sectorale comités van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL) • relevante bepalingen uit de Wet Kruispuntbank Sociale Zekerheid • relevante bepalingen uit de Wet Rijksregister • relevante bepalingen uit de Wet Kruispuntbank voor Ondernemingen • enkele suggesties voor het vermijden van onnodige problemen

Recht op bescherming van de persoonlijke levenssfeer • artikel 22 van de Grondwet: «Ieder heeft recht op eerbiediging van zijn privéleven […].» • algemeen principe • verder uitgewerkt in diverse wetten • Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) • regelt het aspect verwerking van persoonsgegevens • géén allesomvattende «Privacywet»

Historiek (1/3) • Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens • Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens

Historiek (2/3) • Wet van 11 december 1998 tot omzetting van de richtlijn 95/46/EG • Koninklijk besluit van 13 februari 2001 (uitvoering van de wet van 8 december 1992) • Wet van 26 februari 2003 tot wijziging van de wet van 8 december 1992 (Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL)) • Koninklijk besluit van 17 december 2003 (sectorale comités van de CBPL)

Historiek (3/3) • enkele specifieke wetten • Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen • Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid • Wet van 16 januari 2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen

Wet van 8 december 1992tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens gecoördineerde versie beschikbaar op http://www.privacycommission.be/normatieve_teksten.htm 24/05/2006 7 Frank Robben

Definities • persoonsgegevens (art. 1, § 1) • verwerking (art. 1, § 2) • bestand (art. 1, § 3) • verantwoordelijke voor de verwerking (art. 1, § 4) • verwerker (art. 1, § 5) • derde (art. 1, § 6) • ontvanger (art. 1, § 7) • toestemming v/d betrokkene (art. 1, § 8)

Persoonsgegevens • iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon • informatie • m.b.t. een natuurlijke persoon • die geïdentificeerd of onrechtstreeks of rechtstreeks identificeerbaar is • aan de hand van een identificatienummer • aan de hand van één of meer specifieke elementen kenmerkend voor de fysieke, fysiologische, psychische, economische, culturele of sociale identiteit • rekening houden met alle middelen die de verantwoordelijke voor de verwerking of enig ander persoon redelijkerwijs kan inzetten om een persoon te identificeren (overweging nr. 26 van Richtlijn 95/46/EG)

Verwerking • elke bewerking of elk geheel van bewerkingen m.b.t. persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés • verzamelen • bewaren • bijwerken • wijzigen • verspreiden • met elkaar in verband brengen • ...

Bestand • elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn • gestructureerd geheel van persoonsgegevens • logische ordening • maakt systematische raadpleging van de gegevens mogelijk • toegankelijk volgens bepaalde criteria • naam • rijksregisternummer/KSZ-nummer • ...

Verantwoordelijke / verwerker • verantwoordelijke voor de verwerking: de (al dan niet natuurlijke) persoon die (alleen of samen met anderen) het doel en de middelen voor de verwerking van persoonsgegevens bepaalt • verwerker: de (al dan niet natuurlijke) persoon die ten behoeve van de verantwoordelijke voor de verwerking persoonsgegevens verwerkt • ( de persoon die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd is om persoonsgegevens te verwerken)

Derde / ontvanger • derde: elke (al dan niet natuurlijke) persoon, andere dan • de betrokkene • de verantwoordelijke voor de verwerking • de verwerker • de persoon die onder het rechtstreeks gezag van de verantwoordelijke voor de verwerking of de verwerker gemachtigd is om de gegevens te verwerken • ontvanger: de (al dan niet natuurlijke) persoon aan wie de gegevens worden meegedeeld • ruim begrip • al dan niet een “derde”

Algemeen principe (art. 2) • iedere natuurlijke persoon heeft in verband met de verwerking van persoonsgegevens […] recht op […] bescherming van zijn persoonlijke levenssfeer • géén definitie van het begrip “persoonlijke levenssfeer” • residuaire rechtsgrond

Materieel toepassingsgebied van de wet (art. 3, § 1) • geautomatiseerde verwerkingen van persoonsgegevens • niet-geautomatiseerde verwerkingen van persoons-gegevens • opgenomen in een bestand • bestemd voor opname in een bestand

Volledig uitgesloten verwerkingen (art. 3, § 2) • verwerkingen door een natuurlijke persoon voor uitsluitend persoonlijke of huishoudelijke doeleinden • enkel verwerkingen door een natuurlijke persoon (niet door een onderneming, een feitelijke vereniging,…) • voor uitsluitend persoonlijke of huishoudelijke doeleinden (bv. correspondentie en bijhouden van adressenbestanden) • dus NIET: persoonsgegevens die door een werknemer thuis worden verwerkt voor zijn bedrijf (adressen van zakenrelaties of klanten), examenresultaten bewaard door een leraar,...

Gedeeltelijk uitgesloten verwerkingen (art. 3, §§ 3-6) • verwerkingen • voor uitsluitend journalistieke/artistieke/literaire doeleinden • door bepaalde overheden (Staatsveiligheid, politie,…) • door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen • gedeeltelijk uitgesloten • onder bepaalde voorwaarden zijn bepaalde artikelen van de WVP niet van toepassing op deze verwerkingen

Territoriaal toepassingsgebied (art. 3bis) • verwerkingen in het kader van de activiteiten van een vaste vestiging van de verantwoordelijke • op Belgisch grondgebied • op een plaats waar de Belgische wet van toepassing is • verwerkingen door een verantwoordelijke zonder vaste vestiging in EG indien gebruik wordt gemaakt van middelen op het Belgisch grondgebied • ( de middelen uitsluitend bestemd voor doorvoer)

Principes (art. 4) • eerlijkheid en rechtmatigheid • doelbinding (finaliteit) • evenredigheid (proportionaliteit), waaronder redelijke bewaarduur • nauwkeurigheid

Doelbinding, evenredigheid en nauwkeurigheid • doelbinding • verwerking voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden • zowel bij verwerving van de gegevens als bij verdere verwerking (verenigbaarheid met initieel doeleinde, rekening houdend met redelijke verwachtingen van de betrokkene en de wetgeving) • evenredigheid • gegevens moeten toereikend, ter zake dienend en niet overmatig zijn • gegevens mogen niet langer bewaard worden dan nodig voor de verwezenlijking van het doeleinde van de verwerking • nauwkeurigheid • gegevens moeten nauwkeurig zijn en zo nodig worden bijgewerkt

Verwerking is slechts toegestaan (art. 5) (1/2) • wanneer de betrokkene zijn ondubbelzinnige toestemming heeft verleend • wanneer ze noodzakelijk is voor de uitvoering van een overeenkomst of van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen • wanneer ze noodzakelijk is om een wettelijke verplichting na te komen • wanneer ze noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene

Verwerking is slechts toegestaan(art. 5) (2/2) • wanneer ze noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag • wanneer ze noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke/derde, mits het belang of de fundamentele rechten en vrijheden van de betrokkene niet zwaarder doorwegen (belangenafweging !)

Bijzondere verwerkingen: principieel verbod • gevoelige gegevens (art. 6) • gezondheidsgegevens (art. 7) • gerechtelijke gegevens (art. 8)

Gevoelige gegevens (art. 6) • persoonsgegevens met betrekking tot • de raciale of etnische afkomst • de politieke opvattingen • de godsdienstige of levensbeschouwelijke overtuiging • het lidmaatschap van een vakvereniging • het seksuele leven • principieel verwerkingsverbod, tenzij • na schriftelijke toestemming van de betrokkene • nodig in kader van arbeidsrechtelijke verplichtingen of voor de toepassing van de sociale zekerheid • wanneer om een belangrijke reden van publiek belang toegelaten door een wet, een decreet of een ordonnantie • …

Gezondheidsgegevens (art. 7) (1/2) • geen definitie • principieel verwerkingsverbod, tenzij • na schriftelijke toestemming van de betrokkene • nodig voor preventieve geneeskunde, medische diagnose, verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten, mits onder toezicht van een beroepsbeoefenaar in de gezondheidszorg • nodig in kader van arbeidsrechtelijke verplichtingen of voor de toepassing van de sociale zekerheid • wanneer om redenen van zwaarwegend algemeen belang verplicht door of krachtens een wet, een decreet of een ordonnantie • … • moeten in principe worden ingezameld bij de betrokkene zelf

Gezondheidsgegevens (art. 7) (2/2) • mogen enkel worden verwerkt onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg, tenzij • na schriftelijke toestemming van de betrokkene • wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk • recht op mededeling (art. 10) • rechtstreeks • met behulp van een beroepsbeoefenaar in de gezondheidszorg wanneer de betrokkene of de verantwoordelijke hierom verzoeken

Gerechtelijke gegevens (art. 8) • persoonsgegevens inzake • geschillen • verdenkingen • vervolgingen • veroordelingen • administratieve sancties • veiligheidsmaatregelen • principieel verwerkingsverbod => uitzonderingen • wanneer de verwerking noodzakelijk is voor de verwezenlijking van wettelijk vastgestelde doeleinden • …

Rechten van de betrokkene (1/2) • recht op bescherming van de persoonlijke levenssfeer (art. 2) • vormt een residuaire rechtsgrond • recht op informatie • bij inzameling van gegevens bij de betrokkene (art. 9, § 1) • bij registratie/mededeling van gegevens (art. 9, § 2) • recht op kennisname en mededeling (art. 10) • recht op verbetering (art. 12, § 1, eerste lid) • recht op verzet (art. 12, § 1, tweede en derde lid)

Rechten van de betrokkene (2/2) • recht op verwijdering en niet-aanwending (art. 12, § 1, vijfde lid) • recht om niet onderworpen te worden aan bepaalde geautomatiseerde besluiten (art. 12bis) • recht op verhaal: • bij de rechter (art. 14 + strafbepalingen) • bij de CBPL (art. 31) • recht op inzage van het CBPL-register (art. 18)

Recht op informatie • mededeling van informatie aangaande de verwerking • de identiteit van de verantwoordelijke • de doeleinden van de verwerking • het bestaan van een recht op kosteloos verzet bij direct marketing (zie verder) • andere bijkomende informatie opgelegd bij koninklijk besluit • bij inzameling van gegevens bij de betrokkene zelf • behalve indien de betrokkene reeds op de hoogte is • bij registratie/mededeling van gegevens • behalve indien de betrokkene reeds op de hoogte is • behalve indien de registratie/mededeling gebeurt voor historische, statistische of wetenschappelijke doeleinden en de kennisgeving onmogelijk blijkt of onevenredig veel moeite kost • behalve indien de registratie/mededeling gebeurt met het oog op de toepassing van een wettelijke bepaling

Recht op kennisname/mededeling • heeft betrekking op • het al dan niet bestaan van een verwerking • algemene informatie over de verwerking (doeleinden, categorieën gegevens, categorieën ontvangers) • de concrete gegevens (in begrijpelijke vorm) • informatie over de oorsprong van de gegevens • de logica van de geautomatiseerde besluitvorming • de andere hogervermelde rechten van de betrokkene • gedagtekend en ondertekend verzoek • antwoord binnen max. 45 dagen • redelijke termijn voor nieuwe aanvraag • specifieke regeling gezondheidsgegevens (zie hoger)

Recht op verbetering • van onjuiste gegevens • gedagtekend en ondertekend verzoek • kosteloos • antwoord binnen max. 1 maand • mededeling van de verbeteringen aan de personen aan wie de onjuiste gegevens werden meegedeeld • voor zover de verantwoordelijke nog kennis heeft van de bestemmelingen • voor zover de kennisgeving aan de bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost

Recht op verzet • om zwaarwegende en gerechtvaardigde redenen • niet mogelijk tegen verwerkingen noodzakelijk voor • het sluiten/uitvoeren van een overeenkomst • het nakomen van een wettelijke verplichting • gegevens verkregen voor direct marketing • verzet is kosteloos • verzet moet niet gemotiveerd worden • gedagtekend en ondertekend verzoek • antwoord binnen max. 1 maand

Recht op verwijdering en niet-aanwending • heeft betrekking op gegevens • die onvolledig of niet ter zake dienend zijn • waarvan registratie/mededeling/bewaring verboden is • die na verloop van de toegestane duur worden bewaard • gedagtekend en ondertekend verzoek / kosteloos • antwoord binnen max. 1 maand • mededeling van de verwijderingen aan de personen aan wie de gegevens werden meegedeeld • voor zover de verantwoordelijke nog kennis heeft van de bestemmelingen • voor zover de kennisgeving aan de bestemmelingen niet onmogelijk blijkt of onevenredig veel moeite kost

Recht van niet-onderwerping aan bepaalde geautomatiseerde besluiten • besluiten • waaraan voor een persoon rechtsgevolgen verbonden zijn • die een persoon in aanmerkelijke mate treffen • mogen niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren • geldt niet voor besluiten genomen in het kader van een overeenkomst of een wettelijke bepaling (wel: passende maatregelen voorzien)

Recht op verhaal • bij de voorzitter van de rechtbank van eerste aanleg • schending van de rechten op kennisname/mededeling, verbetering, verzet en verwijdering/niet-aanwending • bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer • schending van elke bepaling van de WVP • bij de strafrechter • schending van de strafbepalingen (artikelen 37-43 van de WVP)

Recht op inzage van het CBPL-register • register van de geautomatiseerde verwerkingen van persoonsgegevens • bevat informatie uit de aangiften (art. 17) • staat ter inzage van eenieder

Uitoefening van bepaalde rechten bij CBPL (art. 13) • gedeeltelijk uitgesloten verwerkingen • door bepaalde overheden (Staatsveiligheid, politie,…) • door het Europees Centrum voor vermiste en seksueel uitgebuite kinderen • uitoefening van de rechten op kennisname/mededeling, verbetering, verzet en verwijdering/niet-aanwending gebeurt via de CBPL • kosteloos

Verplichtingen van de verantwoordelijke (1/4) • naleven principes (art. 4) • informatieverstrekking (art. 9) • bij inzameling van gegevens bij de betrokkene (art. 9, § 1) • bij registratie/mededeling van gegevens (art. 9, § 2) • mededeling van het betwist karakter van een gegeven (art. 15) • aansprakelijkheid voor schade (art. 15bis)

Verplichtingen van de verantwoordelijke (2/4) • controle op de verwerker (art. 16, § 1) • een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de uitgewerkte beveiligingsmaatregelen • toezien op de naleving van de uitgewerkte beveiligingsmaatregelen • in het contract met de verwerker opnemen • de uitgewerkte beveiligingsmaatregelen • de aansprakelijkheid van de verwerker • de beperkte bevoegdheid van de verwerker • de verwerker handelt slechts in opdracht van de verantwoordelijke • de verwerker heeft dezelfde verplichtingen als de verantwoordelijke

Verplichtingen van de verantwoordelijke (3/4) • bijwerking, verbetering en verwijdering van de persoonsgegevens (art. 16, § 2, 1°) • ten aanzien van de medewerkers • toegangs- en bevoegdheidsbeperking (art. 16, § 2, 2°) • verstrekking van informatie m.b.t. de gegevensbeschermende bepalingen (art. 16, § 2, 3°) • controle m.b.t. computerprogramma’s (art. 16, § 2, 4°) • conformiteit met de aangifte aan de CBPL • rechtmatig gebruik

Verplichtingen van de verantwoordelijke (4/4) • verplichting voor de medewerkers: verwerking enkel in opdracht van de verantwoordelijke (art. 16, § 3) • nemen van de gepaste technische en organisatorische veiligheidsmaatregelen (art. 16, § 4) • voorkomen van vernietiging, verlies, wijziging,... • passend beveiligingsniveau vergt afweging • stand van de techniek en kosten van de maatregelen • aard van de gegevens en potentiële risico’s • aangifte aan de CBPL (art. 17)

Aangifte aan de CBPL (1/2) • voor elk doeleinde (of geheel van samenhangende doeleinden) waarvoor tot één of meer (volledig of gedeeltelijk) geautomatiseerde verwerkingen wordt overgegaan, is een aangifte vereist • voorafgaandelijk aan de verwerking • ontvangstbewijs CBPL binnen de drie werkdagen • inhoud van de aangifte: zie art. 17, §§ 3 en 6 • nieuwe aangifte bij • wijziging van de aangegeven informatie • beëindiging van de verwerking

Aangifte aan de CBPL (2/2) • vrijstellingen • voor verwerkingen die kennelijk geen gevaar inhouden voor schending van de persoonlijke levenssfeer • moeten bepaald worden bij koninklijk besluit • KB van 13/02/2001 bevat voorwaardelijke vrijstellingen • verwerkingen voor personeels- en loonadministratie en boekhouding • verwerkingen voor administratie van aandeelhouders en vennoten • verwerkingen voor beheer van klanten en leveranciers • verwerkingen voor communicatiedoeleinden en bezoekersregistratie • verwerkingen door instellingen zonder winstoogmerk • verwerkingen door onderwijsinstellingen voor beheer van leerlingen en studenten • verwerkingen door gemeenten voor beheer van registers • verwerkingen door administratieve overheden indien specifiek geregeld • verwerkingen door instellingen van sociale zekerheid • dan wel de inlichtingen vermeld in art. 17, §§ 3 en 6, meedelen aan iedereen die daarom verzoekt

Doorgifte van persoonsgegevens naar landen buiten de EU • het niet-EU-land moet een passend beschermings-niveau bieden (art. 21) • de doorgifte naar een niet-EU-land dat géén passend beschermingsniveau biedt, is evenwel mogelijk • in zes vermelde gevallen (art. 22, eerste lid) • indien gemachtigd bij KB (art. 22, tweede lid)

CBPL - algemeen (1/2) • Commissie voor de Bescherming van de Persoonlijke Levenssfeer • ingesteld bij de Kamer van Volksvertegenwoordigers (art. 23) • samenstelling en aanwijzing (art. 24) • acht vaste leden, waaronder • een voltijdse voorzitter (magistraat) • een voltijdse ondervoorzitter (van een andere taalrol dan de voorzitter) • acht plaatsvervangende leden • gelijk aantal Nederlandstalige en Franstalige leden • benoemd voor een hernieuwbare termijn van zes jaar

CBPL - algemeen (2/2) • onafhankelijkheid (art. 24) • de leden moeten waarborgen bieden met het oog op een onafhankelijke uitoefening van hun opdracht (§ 4) • de leden krijgen van niemand onderrichtingen (§ 6) • vertrouwelijkheid (art. 33) • verslag over de werkzaamheden (art. 32, § 2) • wordt jaarlijks opgesteld • wordt ingediend bij de Kamer van Volksvertegenwoordigers

CBPL - taken (1/2) • adviezen (art. 29) - aanbevelingen (art. 30) • hetzij uit eigen beweging, hetzij op verzoek van wetgevende of uitvoerende overheden • omtrent iedere aangelegenheid die betrekking heeft op de toepassing van de grondbeginselen van de bescherming van de persoonlijke levenssfeer • in het kader van de Wet Verwerking Persoonsgegevens • in het kader van de wettelijke bepalingen inzake de bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens • zijn met redenen omkleed

CBPL - taken (2/2) • behandeling van klachten (art. 31) • aard van de klachten • met betrekking tot de wettelijke opdrachten van de CBPL • getekend en gedateerd • indien de klacht ontvankelijk is, treedt de CBPL op als bemiddelaar • indien een minnelijke schikking wordt bereikt, stelt de CBPL een proces-verbaal op waarin de oplossing wordt uiteengezet • indien geen minnelijke schikking wordt bereikt, geeft de CBPL een advies over de gegrondheid van de klacht of een aanbeveling • recht van verdediging • doet geen afbreuk aan de mogelijkheid om naar de rechtbank te stappen

CBPL - bevoegdheden • bevoegdheden (art. 32, § 1) • inschakelen van deskundigen • uitvoeren van onderzoeken ter plaatse • opeisen van nuttige documenten • betreden van plaatsen waar vermoedelijk werkzaamheden i.v.m. de toepassing van de wet worden verricht • relatie met de rechterlijke macht • de CBPL doet bij de procureur des Konings aangifte van de door haar gekende misdrijven (art. 32, § 2) • de voorzitter kan ieder geschil aangaande de wet en haar uitvoeringsmaatregelen aan de rechtbank van eerste aanleg voorleggen (art. 32, § 3)

Frank Robben

Frank Robben

Presentation Transcript

ROBBEN ISLAND

Frank Robben Algemeen bestuurder Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals

Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT

 Robben 

Frank Robben Administrateur-generaal eHealth-platform Sint-Pieterssteenweg 375 B-1040 Brussel

Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT

Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué Smals

Frank Robben

Frank Robben Administrateur-generaal Kruispuntbank van de Sociale Zekerheid

Frank Robben law.kuleuven.ac.be/icri/frobben

Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT

Frank Robben

Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Gedelegeerd bestuurder Smals

Arjen Robben

Frank Robben Lid Commissie Bescherming Persoonlijke Levenssfeer (CBPL)

Frank Robben Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT

ROBBEN ISLAND MUSEUM

Robben Island booking

Frank Robben General manager Crossroads Bank for Social Security eHealth Platform

Frank Robben General manager Crossroads Bank for Social Security Sint-Pieterssteenweg 375