NIEUWSBRIEF December | nr. 4 |
| |
|
|
|
| Het Hof van Cassatiegeeft de Autoriteit gelijk in het dossier "gebruik van de elektronische identiteitskaart voor de aanmaak van een klantenkaart". In haar arrest heeft het Hof bevestigd dat een betrokkene recht heeft op een minimale verwerking van zijn gegevens om een dienst te verkrijgen, en dat hij een klacht mag indienen wanneer een dienst hem wordt geweigerd omdat hij geen toestemming heeft gegeven voor een verwerking die hij omstreden acht, zelfs als zijn gegevens niet daadwerkelijk zijn verwerkt. |
| |
|
|
|
► Beslissing inzake klachten tegen AVIQ i.v.m. de verwerking van gegevens in het kader van de uitnodiging tot vaccinatie tegen Covid-19 |
| |
|
|
|
In de zomer van 2021 ontving de Autoriteit ongeveer 15 klachten tegen AVIQ. Gelet op de gemeenschappelijke grief van deze klachten, opteerde de Geschillenkamer voor één enkele beslissing 127/2021. Volgens de Geschillenkamer mocht AVIQ de gevraagde verwijdering van de identificatie- en contactgegevens die het had gebruikt om klagers een brief te sturen waarin zij werden uitgenodigd om zich te laten vaccineren, weigeren. De verwerking van deze gegevens kon immers worden gebaseerd op het samenwerkingsakkoord van 12 maart 2021tussen de federale staat en de gefedereerde entiteiten betreffende de verwerking van gegevens met betrekking tot vaccinaties tegen COVID-19. Hoewel zij met name op grond van het Europees recht bevoegd is om een met de AVG strijdige regeling buiten toepassing te laten, ziet de Geschillenkamer daartoe in dit geval geen aanleiding ten aanzien van de omstreden verwerking en seponeerde de klacht zonder verder gevolg. De Commissie waarschuwt AVIQ echter om in haar antwoord specifieker te zijn over de rechtsgrondslag voor de verwerking indien in de toekomst dergelijke verzoeken om verwijdering worden ontvangen. |
| |
|
|
|
►Goedkeuring van de bindende ondernemingsregels van "Otis" en "Carrier" |
| |
|
|
|
Alle doorgiftes van persoonsgegevens die worden verricht buiten de Europese Unie moeten de betrokkenen een passend beschermingsniveau garanderen (art. 44 AVG). Dit passend beschermingsniveau kan worden gegarandeerd met verschillende mechanismen waaronder de bindende ondernemingsregels (BCR) (art. 47 AVG). De GBA moedigt kleine, middelgrote en grote ondernemingen die dat wensen aan om bindende ondernemingsregels voor hun doorgiftes in te voeren, en staat aan hun zijde om de ontwikkeling van dit doorgifte-instrument te vergemakkelijken. Het is binnen dit kader dat zij de BCR komt goed te keuren van de ondernemingen Otis en Carrier. |
| |
|
|
|
►Advies betreffende het EPIS-systeem en het toegangsregister |
| |
|
|
|
Met haar advies van 4 oktober laatstleden over het EPIS-systeem (lijst van personen die van kanspelen zijn uitgesloten en het toegangsregister van de speelzalen van kansspelinrichtingen), stelde het Kenniscentrum vast dat het inzamelen van de foto van elke speler die een speelzaal van een kanspelinrichting binnengaat, disproportioneel is en niet noodzakelijk.Het Kenniscentrum beveelt aan om een technologische oplossing gebaseerd op de identiteitskaart in te stellen ter vervanging van de verplichting tot het nemen van een kopie van de identiteitskaart van de spelers en tot het bijhouden van toegangsregisters en te vermijden dat aan de Kansspelcommissie de identiteit bekend wordt gemaakt van de personen die een speelzaal bezoeken alsmede op welk tijdstip dit gebeurt. |
| |
|
|
|
►Advies betreffendede invoering van een belasting ter bestrijding van de verkeerscongestie |
| |
|
|
|
De Autoriteit heeft een advies uitgebracht over het voorontwerp van ordonnantie van de Brusselse regering tot invoering van een belasting ter bestrijding van de verkeerscongestie. Dit voorontwerp beoogt de invoering van een kilometerheffing die het reële gebruik van het Brusselse wegennet weerspiegelt met de bedoeling files te bestrijden.
Zij was met name van mening dat de invoering van een dergelijke belasting op zichzelf disproportioneel is, gezien de buitensporig fijne fijnmazigheid waarin voor de berekening van deze belasting is voorzien, maar ook dat de tenuitvoerlegging van een dergelijk belastingstelsel disproportioneel is. Deze tenuitvoerlegging impliceert immers de invoering van maatregelen (registratie van de ritten, mededeling van gegevens aan de belastingadministratie, controle van het bedrag van de belasting, bewaring van gegevens) die een bijzonder grote aantasting zijn van het recht op bescherming van de persoonsgegevens van de gebruikers. Het onevenredige karakter van een dergelijk systeem blijkt onder meer uit de zeer persoonlijke aard van de reisgegevens en de zeer indringende aard van het registreren van ritten met behulp van boordapparatuur, zelfs al is het een smartphoneapplicatie. In deze omstandigheden was de Autoriteit van oordeel dat het ongemak dat wordt veroorzaakt door de gegevensverwerkingen die door het geplande systeem zouden worden gegenereerd, niet in verhouding staan tot deze doelstelling. |
| |
|
|
|
►Advies betreffende de analyse van de dreiging |
| |
|
|
|
Het ontwerp heeft betrekking op de bevoegdheid van verscheidene toezichthoudende autoriteiten (GBA, Comités P en I) en betreft de regels voor samenwerking (uitwisseling van gegevens en verzoeken om gezamenlijke dreigingsanalyses) tussen het Coördinatieorgaan voor dreigingsanalyse (OCAD) en zijn ondersteunende diensten (Thesaurie, Crisiscentrum, Dienst Erediensten en Vrijzinnigheid van de Federale Overheidsdienst Justitie, enz.) Binnen de grenzen van haar bevoegdheid is de Autoriteit van oordeel dat de gegevensverwerking in het kader van het ontwerp een bijzonder ingrijpende aantasting van de rechten en vrijheden van de betrokkenen met zich meebrengt : bijzondere categorieën gegevens worden verwerkt op lange termijn, in een grotendeels geheime context waarin de rechten van de betrokkenen aanzienlijk worden beperkt, met het oog op de opstelling van een dreigingsevaluatie - een profiel - die betrekking kan hebben op de betrokkenen. De evaluatie wordt vervolgens meegedeeld aan andere overheidsinstanties binnen de harde kern van de inlichtingendiensten en kan, indien zij slecht wordt uitgevoerd en/of verkeerd gebruikt, een onherstelbare schending van de rechten en vrijheden van de betrokkenen tot gevolg hebben.
In hoofdzaak is de Autoriteit, met name gelet op de voorgenomen uitbreiding van het mandaat van OCAD, van mening dat het ontwerp voorziet in de mogelijkheid om soms onevenredig en soms onvoldoende voorspelbaar, informatie uit te wisselen. In het ontwerp moeten de essentiële elementen van de gegevensverwerking die een samenwerking tussen het OCAD en zijn ondersteunende diensten tot gevolg kan hebben, duidelijk worden omschreven, evenals de passende garanties die met name vereist zijn voor de verwerking van persoonsgegevens waaruit de politieke opvattingen en de godsdienstige of levensbeschouwelijke overtuiging blijken. |
| |
|
|
|
►Advies betreffendede administratieve geldboetes inzake verkeersveiligheid, met betrekking tot het administratief en financieel statuut van de bevoegde personeelsleden |
| |
|
|
|
De Autoriteit heeft advies uitgebracht over twee ontwerpbesluiten ter uitvoering van het decreet van 4 april 2019 betreffende administratieve boetes inzake verkeersveiligheid.In dit verband heeft de Autoriteit met name kritiek geuit op de uitbreiding via een verordening van de lijst van categorieën van gegevens die zijn opgenomen in het centrale bestand met informatie over de verkeersovertredingen die door de bevoegde personeelsleden van het Waalse Gewest werden vastgesteld en over de daarmee verband houdende administratieve en gerechtelijke geschillenprocedure. Bovendien roept de voorgestelde uitbreiding vragen op, aangezien het de bedoeling is alle informatie over uitgevoerde wegcontroles op te nemen, ongeacht of deze al dan niet tot een verkeersbekeuring hebben geleid. Een soortgelijke kritiek is geuit met betrekking tot de uitbreiding van de doeleinden van dit bestand tot bijzondere categorieën van persoonsgegevens. Bij deze gelegenheid herinnerde de Autoriteit de waarborgen die bij wet moeten worden ingevoerd om profileringsactiviteiten te omkaderen. Ook wordt kritiek geuit op de subdelegatie aan de directeur van de WOD Mobiliteit en infrastructuur om de maatregelen te bepalen betreffende de koppeling of de correlatie van het centrale bestand met andere gegevensbestanden.Een ander belangrijk punt dat in dit advies aan bod komt, is het ruime en niet tot het decreet beperkte kader waarin de personeelsleden van de WOD verplicht zijn om aan de federale en lokale politie « alle gegevens en inlichtingen mee te delen die relevant zijn voor de uitoefening van de bestuurlijke en gerechtelijke politie ». |
| |
|
|
|
►Advies betreffendehet gebruik van financiële en andere informatie voor het voorkomen, opsporen, onderzoeken of vervolgen van bepaalde strafbare feiten |
| |
|
|
|
De Autoriteit bracht advies uit omtrent een voorontwerp van wet tot omzetting van Richtlijn (EU) 2019/1153 tot vaststelling van regels ter vergemakkelijking van het gebruik van financiële en andere informatie voor het voorkomen, opsporen, onderzoeken of vervolgen van bepaalde strafbare feiten. De Autoriteit herhaalde hierin (o.a.) nogmaals haar reeds eerder geuite kritiek op de overmatig uitgebreide mededelingsplicht aan het CAP (Centraal AanspreekPunt van financiële rekeningen en contracten van de Nationale Bank van België) -waarin nu ook de saldi van bank- en betaalrekeningen en periodieke geglobaliseerde bedragen van financiële contracten worden geregistreerd- en welke ingevolge het voor advies voorgelegde voorontwerp van wet nu bovendien toegankelijk worden voor het Belgische COIV (Centraal Orgaan voor de Inbeslagneming en Verbeurdverklaring) evenals voor diens Europese homologen, wat overigens verder gaat dan de informatie-uitwisseling zoals deze door de Europese Richtlijn terzake wordt voorgeschreven. |
| |
|
|
|
► Video's - Webinar "Gegevensbescherming, ik maak er mijn zaak van" |
| |
|
|
|
Op 9 maart van dit jaar organiseerde de Autoriteit samen met haar partners VUB, UNamur en KU Leuven de webinar “Gegevensbescherming, ik maak er mijn zaak van!”. De webinar telde naast een plenaire, inleidende sessie ook een groot aantal knelpunten-sessies gaande van de typische struikelblokken zoals de betekenis van transparantie, de invulling van verwerker en verwerkingsverantwoordelijke tot een aantal meer geavanceerde vraagstukken betreffende bijvoorbeeld direct marketing of human resources. Tijdens de duur van de webinar konden de deelnemers (meer dan 700 inschrijvingen waarvan er op elk moment tijdens de webinar steeds tussen de 350 en 500 actief waren) op een virtuele expo met netwerkfunctionaliteiten met elkaar en de sprekers afspreken voor een meer individueel gesprek. De powerpoint-presentaties van de sprekers (die daartoe toestemming hebben gegeven) werden reeds ter beschikking gesteld via dewebsite van de Autoriteit. Hier voegen we nu ook nog de ondertitelde versies van de video’s aan toe (althans van de sprekers die daarvoor toestemming hebben gegeven). Ten behoeve van de slechthorenden werden de video’s tevens ondertiteld in de gesproken taal. |
| |
|
|
|
► De Autoriteitvolgt een mogelijk beveiligingslek in de CovidScan-applicatie verder op |
| |
|
|
|
De Autoriteit werd op de hoogte gebracht van een mogelijk beveiligingslek in de CovidScan-applicatie. Het Covid Safe Ticket wordt rechtstreeks via de CovidScan-applicatie gelezen en gevalideerd. In het geval van gevaccineerde personen controleert de app of de gevaccineerde persoon niet onlangs een PCR-test heeft ondergaan die positief is gebleken. Deze verificatie zou gebeuren aan de hand van een gecodeerde lijst. In deze fase van het scanproces van het Covid Safe Ticket werd een potentiële beveiligingsfout opgemerkt. Aangezien de gegevens die in het kader van het Covid Safe Ticket worden verwerkt, zeer gevoelig zijn, heeft de Autoriteit onmiddellijk en op eigen initiatief een formeel onderzoek gestart. |
| |
|
|
|
► Toolbox: Schema rechten van betrokkenen en rechtsgronden |
| |
|
|
|
Voor elke verwerking van persoonsgegevens moet er een rechtsgrond zijn (AVG, artikel 6). Afhankelijk van de rechtsgrond en in bepaalde gevallen ook de context van de verwerking van persoonsgegevens of het type van verwerking van persoonsgegevens, zijn bepaalde rechten van betrokkenen al dan niet van toepassing. De Autoriteit publiceert in haar toolbox een schema dat de rechten van betrokkenen oplijst die al dan niet van toepassing zijn voor de verwerkingen van persoonsgegevens gebaseerd op de verschillende rechtsgronden. |
| |
|
|
|
Melding van een gegevenslek : een herinnering |
De Gegevensbeschermingsautoriteit herinnert eraan dat indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke de plicht heeft dit te melden aan de toezichthoudende autoriteit zonder onredelijke vertraging en uiterlijk 72 uur na kennisname van de gegevensinbreuk. Deze melding is verplicht bij inbreuken die een risico inhouden voor de rechten en vrijheden van natuurlijke personen. Indien de gegevensinbreuk een hoog risico inhoudt voor de rechten en vrijheden van de natuurlijke personen dient de verwerkingsverantwoordelijke eveneens de betrokkenen hierover in te lichten. Eveneens is eenhandleidingbeschikbaar voor het invullen en doorsturen van de E-form waarin een gegevensinbreuk dient te worden gemeld. |
| |
|
|
|
De Autoriteit zal vanaf 24 december 2021 t.e.m. 2 januari gesloten zijn. Vanaf maandag 3 januari 2022 zijn wij terug tot uw beschikking. We wensen u alvast vrolijke eindejaarsfeesten ! |
| |
| Geïnteresseerd in de activiteiten van de Autoriteit? Volg ons op de sociale netwerken : |
| |
|
|
|
|
