Kenniscentrum

Advies 46/2021 betreffende elektronisch toezicht

Dit voorontwerp organiseert het beheer van de plaatsingen van mandaten voor  elektronisch toezicht door de bevoegde dienst. Dit ontwerp werd opgesteld naar aanleiding van de communautarisering van deze bevoegdheid en organiseert de inwerkingtreding van de bepalingen (van de wet van 17 mei 2006)  betreffende het nieuwe stelsel van elektronisch toezicht voor justitiabelen die zijn veroordeeld tot een of meer vrijheidsstraffen van minder dan drie jaar.  Dit ontwerp is een vervolg op het verdwijnen van de (federale) mechanismen die het tot dusver mogelijk hebben gemaakt de plaatsing onder elektronisch toezicht te beheren naar gelang de feitelijke plaatsingsmogelijkheden.

Het ontwerp stelt lijsten van doeleinden, betrokkenen en gegevens op maar legt geen verband met de bedoelde gegevensverwerkingen. Dit maakt het  onmogelijk te begrijpen wat er in de praktijk met deze gegevens zal gebeuren, wat theoretisch de deur openzet voor misbruiken, zoals bijvoorbeeld de verwerking van gegevens met betrekking tot de etnische afkomst of de seksuele geaardheid van de betrokken sociale dienstverleners.

De Autoriteit wijst er derhalve op dat het van essentieel belang is om voor elk doel te onderscheiden welke verwerkingen op welke categorie gegevens mogen worden uitgevoerd en door welke verwerkingsverantwoordelijke, zodat de burgers (i) in staat zijn de beoogde gegevensverwerkingen te begrijpen en aldus de voorspelbaarheid van deze verwerkingen te waarborgen, en om (ii) de Autoriteit in staat te stellen de rechtmatigheid en evenredigheid van deze verwerkingen te analyseren.

Advies 184/2021 betreffende de analyse van de dreiging

Het ontwerp dat voor advies aan het Kenniscentrum werd voorgelegd, betrof de regels voor de uitwisseling van gegevens (met inbegrip van verzoeken om gezamenlijke dreigingsanalyses) tussen het Coördinatieorgaan voor de dreigingsanalyse (OCAD) en met name zijn ondersteunende diensten (het ministerie van Financiën, het Crisiscentrum, de dienst Erediensten en Vrijzinnigheid van de Federale Overheidsdienst Justitie, ...), in het kader van de bestrijding van extremisme en terrorisme.

Binnen de grenzen van haar bevoegdheid is de Autoriteit van oordeel dat de gegevensverwerking in het kader van het ontwerp een bijzonder ingrijpende aantasting van de rechten en vrijheden van de betrokkenen met zich meebrengt : bijzondere categorieën gegevens worden verwerkt op lange termijn, in een grotendeels geheime context waarin de rechten van de betrokkenen aanzienlijk worden beperkt, met het oog op de opstelling van een dreigingsevaluatie - een profiel - die betrekking kan hebben op de betrokkenen. De evaluatie wordt vervolgens meegedeeld aan andere overheidsinstanties dan de inlichtingendiensten. Indien zij slecht wordt uitgevoerd en/of verkeerd gebruikt, kan deze evaluatie een onherstelbare schending van de rechten en vrijheden van de betrokkenen tot gevolg hebben.

In hoofdzaak is de Autoriteit, met name gelet op de voorgenomen uitbreiding van de opdracht van het OCAD, van mening dat het ontwerp voorziet in de mogelijkheid om soms onevenredig en soms onvoldoende voorspelbaar, informatie uit te wisselen. In een dergelijk wetsontwerp moet duidelijk worden aangegeven welke essentiële elementen van gegevensverwerking een rol kunnen spelen bij de samenwerking tussen OCAD en zijn ondersteunende diensten, en welke passende waarborgen vereist zijn, met name voor de verwerking van persoonsgegevens in een geheime context waaruit de politieke opvattingen en de godsdienstige of levensbeschouwelijke overtuiging blijken.

Advies 127/2021 betreffende de openbare statistiek

In haar advies 127/2021 heeft de Autoriteit vastgesteld dat de wet op de openbare statistiek van 1962 op een aantal punten kan worden verbeterd om ervoor te zorgen dat officiële statistieken duidelijk worden gedefinieerd, dat er passende maatregelen worden genomen om de rechten en vrijheden van de betrokken personen te vrijwaren en de statistische geheimhouding te bewaren. Het gaat met name om volgende punten:

• het ontbreken van een wetgevingskader voor de taken van openbare dienst waarmee het Nationaal Instituut voor de Statistiek (NIS of Statbel) is belast, aan te pakken, teneinde bij te dragen tot een duidelijke, vastberaden en expliciete beschrijving van de doeleinden van de gegevensverwerking die het in deze context verricht;
• vaststelling van de juridische en organisatorische voorwaarden die nodig zijn opdat het NIS zijn rol als verwerkingsverantwoordelijke kan vervullen;
• noodzaak om artikel 2 van deze wet van 1962 in overeenstemming te brengen met de AVG, die het NIS thans toestaat statistieken op vertrouwelijke wijze aan belangstellende overheidsdiensten of -instanties (met uitzondering van de belastingadministratie) mee te delen in een vorm die individuele situaties onthult;
• benadrukking van de verplichting van het NIS om geanonimiseerde gegevens te verwerken voor statistische studiedoeleinden en deze gegevens beschikbaar te stellen voor wetenschappelijk onderzoek, wanneer dergelijke gegevens volstaan;
• toevoeging van waarborgen in de wet van 1962 met betrekking tot het gebruik van pseudonimiseringssleutels die toelaten de identiteit van de personen over wie het NIS informatie verwerkt, te achterhalen;
• preciseren in de wet van 1962 dat het NIS uitsluitend voor statistische doeleinden gepseudonimiseerde studiegegevens ter beschikking mag stellen van federale overheidsdiensten of instellingen van algemeen belang die van de staat afhangen, ministeriële departementen van gefedereerde entiteiten en provinciale en gemeentelijke administraties  en dat de genoemde instanties onderworpen zijn aan de naleving van de beginselen van de openbare statistiek die zijn neergelegd in artikel 1bis van de wet van 1962 (beginsel van rechtmatigheid en billijkheid, beginsel van doelbinding, evenredigheidsbeginsel, beginsel van onpartijdigheid, objectiviteit en professionele onafhankelijkheid);
• beter toezicht op de toegang tot NIS-gegevens voor wetenschappelijke onderzoeksdoeleinden door te bepalen dat die toegang alleen mag worden verleend aan erkende onderzoeksentiteiten, en de vaststelling, bij wet- of regelgeving, van de criteria op basis waarvan die erkenning kan plaatsvinden;
• vaststelling van onevenredigheid van een ontwerpbepaling van de wet van 1962 die het NIS toestaat alle gegevens die het verzamelt met het oog op statistische studie of wetenschappelijk onderzoek onbeperkt te bewaren;
• verplichting voor het NIS om vóór het vrijgeven van gepseudonimiseerde gegevens na te gaan of de betrokkenen over wie informatie wordt vrijgegeven, redelijkerwijs alleen opnieuw kunnen worden geïdentificeerd aan de hand van de pseudonimiseringssleutel;
• handhaving van wettelijke bepalingen ter bescherming van personen die geweigerd hebben te reageren op statistische enquêtes ;
• aanpassing van de wet van 1962, zodat de functionaris voor gegevensbescherming van het NIS geen taken krijgt die hem of haar in een belangenconflict brengen met zijn taken in het kader van de AVG.

Advies 108/2021 betreffende identificatie-, verkeers- en locatiegegevens

De GBA werd verzocht advies uit te brengen over het wetsontwerp betreffende het verzamelen en bewaren van identificatie-, verkeers- en locatiegegevens in de sector elektronische communicatie en betreffende de toegang tot die gegevens door de autoriteiten. Het voorontwerp van wet beoogt tegemoet te komen aan de vernietiging door het Grondwettelijk Hof (GwH) van de wet van 29 mei 2016 betreffende het verzamelen en het bewaren van de gegevens in de sector van de elektronische communicatie. De wet van 29 mei 2016 werd vernietigd omdat die in beginsel was gebaseerd op een veralgemeende en ongedifferentieerde verplichting om verkeers- en locatiegegevens van gebruikers van elektronische communicatiemiddelen te bewaren, en het GwH, in navolging van het Hof van Justitie van de Europese Unie (HJEU), van mening is dat de verplichting om elektronische-communicatiegegevens te bewaren de uitzondering moet zijn, en niet de regel.

Het wetsontwerp beoogt de invoering van een systeem voor de bewaring van communicatiemetadata dat voldoet aan de door het Europees recht gestelde eisen. Maar in haar advies merkte de GBA echter op dat het wetsontwerp niet echt de perspectiefwijziging aanbreng  die het HvJEU en het GwH eisen. Het voorontwerp van wet is immers voornemens nieuwe maatregelen op te leggen voor de bewaring van verkeers- en locatiegegevens, hetgeen zou kunnen leiden tot de feitelijke herinvoering van veralgemeende en ongedifferentieerde verplichtingen inzake gegevensbewaring, terwijl tegelijkertijd de mogelijkheden voor toegang tot dergelijke gegevens worden uitgebreid. De GBA drong er in haar advies op aan dat het wetsontwerp grondig zou worden herzien om te voldoen aan alle vereisten die het HvJEU en het GwH opleggen.  Een nieuwe nietigverklaring van de wet door het GwH zou het vertrouwen van de burgers in de democratische instellingen kunnen ondermijnen.

Overigens heeft de GBA in haar advies met bezorgdheid opgemerkt dat het wetsontwerp voorziet in de verplichting voor exploitanten die een encryptiesysteem opzetten, om wettelijke interceptiemaatregelen mogelijk te maken. De GBA herinnerde eraan dat sinds de jaren negentig er in de wetenschappelijke gemeenschap een consensus bestaat dat het inbouwen van "achterdeurtjes" (" backdoors") in versleutelingssystemen meer risico's inhoudt voor de persoonlijke levenssfeer van de betrokken personen en voor de belangen van de staten dan dat het voordelen oplevert voor de bestrijding van zware criminaliteit. De GBA is ook bezorgd over de invoering van een gegevensverzamelingsplicht door diensten, zoals de versleutelde berichtendiensten, die tot dusver om legitieme veiligheids- en privacyredenen hebben vermeden om dergelijke gegevens te verzamelen.

Advies 186/2021 betreffende een kilometerheffing in het Brussels Hoofdstedelijk Gewest

De Autoriteit bracht op 8 oktober 2021 een advies over een voorontwerp van ordonnantie van de Brusselse regering tot invoering van een belasting ter bestrijding van de verkeerscongestie. Dit voorontwerp beoogt de invoering van een kilometerheffing die het reële gebruik van het Brusselse wegennet weerspiegelt met de bedoeling files te bestrijden.

Het advies bleef beperkt tot een analyse van de noodzaak en de evenredigheid van het belastingstelsel: Een herziening van de bepalingen van het ontwerp leek voorbarig, gezien het onevenredige karakter van het beoogde systeem.

In dit verband heeft het Kenniscentrum met name :

• vastgesteld dat de invoering van een dergelijke belasting op zich onevenredig is gezien de buitensporige fijnmazigheid die voor de berekening van deze belasting is voorzien, maar ook dat de uitvoering van een dergelijk belastingstelsel onevenredig is gezien de bijzonder ingrijpende maatregelen die een dergelijke uitvoering met zich meebrengt (registratie van de ritten en mededeling van de desbetreffende gegevens aan de belastingadministratie);
• vastgesteld dat het beoogde systeem onevenredig is ten aanzien van de volgende 5 elementen (i) het voorgestelde alternatief tussen de kilometerheffing en de forfaitaire belasting ; (ii) de zeer persoonlijke aard van de ritgegevens; (iii) de zeer indringende aard van het registreren van ritten met behulp van boordapparatuur, ook wanneer de boordapparatuur een smartphoneapplicatie is; (iv) de moeilijkheid om de berekening van de variabele belasting ernstig en redelijk aan te vechten en (v) de bewaartermijnen van de geregistreerde gegevens.

In deze omstandigheden was de Autoriteit van oordeel dat het ongemak dat wordt veroorzaakt door de gegevensverwerkingen die door het geplande systeem zouden worden gegenereerd, niet in verhouding staan tot deze doelstelling.

Advies 249/2021 betreffende "Uber taxidiensten"

Op 23 december 2021 heeft het Kenniscentrum van de GBA  in het kader van de spoedprocedure (termijn van 15 dagen) een advies uitgebracht over een voorontwerp van ordonnantie van het Brussels Hoofdstedelijk Gewest betreffende taxidiensten en evenementiële personenvervoerdiensten. Dit voorontwerp strekt tot intrekking van de verordening van 27 april 1995 die deze sector regelt, en tot instelling van een nieuw juridisch kader voor de verschillende actoren in de sector (exploitanten van taxidiensten, chauffeurs, platformbeheerders en exploitanten van evenementiële personenvervoerdiensten), dat is aangepast aan de huidige digitale wereld. Met dit voorontwerp wordt met name beoogd één gemeenschappelijke status in te voeren voor " klassieke  taxi's" en " straat-taxi's" die gebruik maken van boekingplatforms, zoals Uber.

De GBA herinnerde er met name aan dat het voorontwerp de verwerking van gevoelige gegevens in de zin van de AVG behelst, d.w.z. gegevens in verband met strafrechtelijke veroordelingen betreffende inbreuken op de zedelijkheidsvoorwaarden. Om te voorkomen dat dergelijke irrelevante en buitensporige gegevens worden verzameld, beval zij aan een uitputtende lijst op te stellen van veroordelingen die worden geacht niet te voldoen aan de zedelijkheidsvoorwaarden voor het behoorlijk verrichten van taxidiensten en/of die iemand rechtmatig zouden beletten een taxibedrijf te exploiteren of een boekingplatform te beheren.

De GBA was met name van oordeel dat in het voorontwerp duidelijk moet worden aangegeven voor welke doeleinden exploitanten van taxidiensten, platformbeheerders en exploitanten van evenementiële personenvervoerdiensten met elkaar moeten communiceren en Brussel Mobiliteit toegang moeten geven tot bepaalde gegevens over chauffeurs en hun ritten. Voorts beval zij de auteur van het voorontwerp aan om de noodzaak en de evenredigheid van de totstandbrenging van dergelijke communicatie en toegang voor administratieve beheers- en controledoeleinden nauwgezet te beoordelen.

Advies betreffende bepaalde strafbare feiten

De Autoriteit bracht in 2021 een advies uit omtrent een voorontwerp van wet tot omzetting van Richtlijn (EU) 2019/1153 tot vaststelling van regels ter vergemakkelijking van het gebruik van financiële en andere informatie voor het voorkomen, opsporen, onderzoeken of vervolgen van bepaalde strafbare feiten.

De Autoriteit herhaalde hierin haar reeds eerder geuite kritiek op de overmatig uitgebreide mededelingsplicht aan het CAP (Centraal AanspreekPunt van financiële rekeningen en contracten van de Nationale Bank van België), waarin nu ook de saldi van bank- en betaalrekeningen en periodieke geglobaliseerde bedragen van financiële contracten worden geregistreerd. Ingevolge het voor advies voorgelegde voorontwerp van wet worden deze bedragen nu bovendien toegankelijk voor het Belgische COIV (Centraal Orgaan voor de Inbeslagneming en Verbeurdverklaring) evenals voor diens Europese homologen, wat verder gaat dan de informatie-uitwisseling zoals deze door de Europese Richtlijn terzake wordt voorgeschreven. De uitgebreide mededelingsplicht en de toegang tot het CAP zijn in 2021 in verschillende adviezen behandeld, met name in advies 214/2021, dat hier wordt besproken, maar ook in de adviezen 80/2021, , 87/2021 en 14/2021.

Advies m.b.t. diverse bepalingen gezondheid

De GBA werd om advies gevraagd omtrent een 30-tal artikelen aangaande 9 onderscheiden onderwerpen, uit een voorontwerp van wet houdende diverse bepalingen inzake gezondheid. Naast een aantal punctuele opmerkingen en aandachtspunten, vertoonden vooral het multidisciplinair patiëntendossier en (in iets mindere mate) de unieke centrale voorschriftendatabank meer fundamentele problemen op het vlak van transparantie en voorzienbaarheid van het wettelijk kader. Omtrent de voorschriftendatabank liet de GBA zich overigens reeds eerder kritisch uit in advies nr. 23/2021, waarvan de opmerkingen slechts gedeeltelijk in aanmerking werden genomen.

Het multidisciplinair patiëntendossier, dat een zeer uitgebreide verwerking van de meest gevoelige en intieme (gezondheids-)informatie (zowel fysiek, psychisch, cognitief, gedragsmatig, …) introduceert van uitermate kwetsbare patiënten, roept ernstige vragen op.

Vooreerst schiet het voorontwerp hier schromelijk tekort in een duidelijke afbakening van de essentiële verwerkingselementen (doeleinde, gegevens, betrokkenen, bewaartermijn, verwerkingsverantwoordelijke en derde-ontvangers). Dit maakt het onmogelijk om in te schatten of de invoering van een dergelijk multidisciplinair patiëntendossier wel een noodzakelijke (beantwoordend aan een reële maatschappelijke behoefte in een democratische samenleving) en proportionele maatregel betreft.

Voorts holt het voorontwerp met de introductie van dit multidisciplinair patiëntendossier de controle/zeggenschap van patiënten over het delen van hun gezondheidsgegevens - zoals voorzien in afdeling 12 van de van 22 april 2019 inzake de kwaliteitsvolle praktijkvoering in de gezondheidszorg voor het ‘gewone’ patiëntendossier - volledig uit.

Als gegevensbron voor het multidisciplinair patiëntendossier, baart ook de BelRAI-databank de GBA grote zorgen wegens het gebrek aan precieze en degelijke wettelijke omkadering. BelRAI is een multidisciplinair evaluatie-instrument dat volgens bepaalde algoritmes de mogelijke gezondheidsrisico’s voor kwetsbare patiënten bepaalt evenals scores op een aantal zorgschalen (zie https://belrai.org/nl ), en deze informatie samenbrengt in een centrale databank. De GBA herinnerde ter zake ook aan het belang en de noodzaak van het doorvoeren van een DPIA voor elke grootschalige verwerking van bijzondere categorieën van persoonsgegevens, zoals o.a. gezondheidsgegevens.

Verwezenlijkingen in cijfers

Het Kenniscentrum heeft in 2021 in totaal 249 adviezen uitgebracht op ontwerpen van normatieve wet- en regelgevende teksten. Er werd ook 1 aanbeveling inzake biometrische gegevens gepubliceerd.