Uitdagingen inzake gegevensbescherming

Inleiding

Ik heb ontslag genomen als extern lid van het Kenniscentrum van de Gegevensbeschermingsautoriteit (hierna GBA) omdat ik niet wenste dat België omwille van mijn functie bij de GBA zou worden gedagvaard bij het Europees Hof van Justitie wegens een vermeend gebrek aan onafhankelijkheid van de GBA. Uiteraard is een onafhankelijke werking van de GBA cruciaal. Persoonlijk ben en blijf ik van oordeel dat mijn functie bij de GBA geen probleem van onafhankelijkheid stelde. Maar de openbare sfeerschepping, die overigens mede werd geïnitieerd door bepaalde directieleden van de GBA met onjuiste verklaringen, maakten een verder sereen debat onmogelijk.

Ik wil hiermee wel graag aandacht vragen voor de kern van de zaak en voor het fundamenteel debat, dat maar niet wordt gevoerd. Ik hoop dat mijn ontslag als extern lid van het Kenniscentrum nu de ruimte biedt om dat debat te voeren, zowel in het Belgisch Parlement als in de Europese Commissie. De GBA heeft met name krachtens de Algemene Verordening Gegevensbescherming de opdracht om te waken over alle grondrechten vermeld in het Handvest van de grondrechten van de Europese Unie en de Belgische grondwet, en niet alleen over het recht op gegevensbescherming.

Ik heb vanuit mijn functie bij het Kenniscentrum altijd in grote onafhankelijkheid, en vanuit een mulitidisciplinaire expertise en creatieve ingesteldheid, gepoogd bij te dragen aan deze belangrijke doelstelling. Sommige directieleden van de Gegevensbeschermingsautoriteit, sommige organisaties, sommige journalisten en sommige onderzoekers lijken vooral oog te hebben voor het ene grondrecht op gegevensbescherming, waaraan ze de andere grondrechten blijkbaar ondergeschikt willen maken.

Ik vind het mijn plicht te waarschuwen voor het ernstig risico voor de afbouw van even belangrijke grondrechten zoals het recht op sociale bescherming, het recht op gezondheidszorg , het recht op goed overheidsbestuur of het recht op een eerlijke rechtsgang dat dit tot gevolg kan hebben.

Ik hoop alvast dat het Parlement bij de bespreking van het wetsontwerp tot hervorming van de Gegevensbeschermingsautoriteit en bij de benoeming van de nieuwe leden dat fundamenteel debat niet uit de weg gaat.

Achter het (vaak leugenachtig) moddergevecht dat tegen mijn persoon is gevoerd, gaat immers een al dan niet bedoeld risico schuil voor de afbouw van belangrijke maatschappelijke verwezenlijkingen.

In de onderstaande tekst probeer ik dat scherp te stellen en methoden van oplossing voor te stellen.

Een voortdurende evenwichtsoefening

Artikel 1 van de Algemene Verordening Gegevensbescherming (AVG of, in het Engels, GDPR) luidt als volgt:

  1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.
  2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
  3. Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.

De AVG streeft er dus naar om grondrechten, inzonderheid het recht op bescherming van persoonsgegevens, te waarborgen en tegelijk het vrij verkeer van persoonsgegevens binnen het hele grondgebied van de Europese Unie, en de nodige gegevensverwerking daartoe, te garanderen. De hele AVG ademt daartoe het zoeken naar 4 evenwichten uit.

Evenwicht 1: risico’s op het vlak van gegevensbescherming vermijden én toegevoegde waarde van gegevensverwerking benutten 

De AVG biedt een kader om risico’s op het vlak van gegevensbescherming te vermijden wanneer persoonsgegevens worden verwerkt om op een effectieve en efficiënte wijze toegevoegde waarde te bieden voor burgers, ondernemingen of overheidsdiensten.

Elke vooruitgang en vernieuwing is het resultaat van het opzoeken van toegevoegde waarde en het vermijden van risico’s. Het afwegen van de toegevoegde waarde en de risico’s vraagt een beredeneerde benadering: de kansen op het verwerven van toegevoegde waarde moeten de kansen op risico’s in aanzienlijke mate overtreffen. Door het opdrijven van de beveiliging kan voor een positieve balans worden gezorgd, maar de beveiliging brengt mogelijks ook beperkingen met zich mee die de toegevoegde waarde ernstig kunnen aantasten. De inspanningen rond gegevensbescherming en informatieveiligheid moeten dan ook gericht zijn op het bereiken van een redelijk evenwicht tussen het behalen van de toegevoegde waarde en het vermijden van risico’s, die uit vernieuwende actie voortvloeien. Absolute veiligheid mag niet voorgesteld worden als een na te streven ideaal. Anders dreigt elke vernieuwing in de kiem te worden gesmoord. Dat vraagt degelijk risicobeheer.

Naar analogie: hoewel het autoverkeer nog elk jaar dodelijke slachtoffers eist, is niemand vragende partij om de auto definitief te verbieden. Alle betrokken partijen werken wel al jaren aan technische maatregelen, veiligheidscultuur en handhaving. Voor de veilige verwerking van persoonlijke gegevens is dit ook nodig.

Voorbeelden

JaMaar
Wie recht heeft op een tegemoetkoming voor gehandicapten of een leefloon moet automatisch kunnen genieten van een sociaal tarief op water, gas en elektriciteit Water-, gas- of elektriciteitsleveranciers mogen geen details kennen over de concrete sociale situatie of handicap die recht geeft op het sociaal tarief
De huisarts van een patiënt of de specialist waarnaar een patiënt wordt doorverwezen, moeten vlot toegang hebben tot de relevante gezondheidsgegevens over de patiënt, om kwaliteitsvolle zorg te kunnen verlenen en risico’s en onnodige meervoudige onderzoeken te vermijdenZorgverstrekkers die geen zorgrelatie hebben met de patiënt mogen geen toegang hebben tot diens gegevens
Evenwicht 2: respect voor alle grondrechten

Er zijn meerdere grondrechten erkend in internationale verdragen en de Belgische grondwet. Denk aan het recht op bescherming van je persoonsgegevens, maar bijvoorbeeld ook aan het recht op sociale bescherming, het recht op kwalitatieve gezondheidszorg, het recht op een eerlijk proces, het recht op ondernemen…

Er is geen hiërarchie tussen de grondrechten. In situaties waar deze elkaar tegenspreken, moet er dus worden gezocht naar het juiste evenwicht. Dit moet pragmatisch en proportioneel gebeuren, met een gedegen kennis van het toepassingsdomein, en dus multidisciplinair. De veilige verwerking en bescherming van persoonsgegevens moet gewaarborgd zijn, maar kan niet zomaar primeren op andere grondrechten.

Voorbeelden

JaMaar
Goede sociale bescherming en armoedepreventie vraagt informatie over welke personen werkloos of ziek zijn, kinderen hebben, … zodat hen uitkeringen worden toegekendInstellingen van sociale zekerheid moeten geen kennis hebben van persoonsgegevens die niet relevant zijn voor de berekening van de sociale rechten
Elke arts die een geneesmiddel voorschrijft, moet kunnen nagaan dat dit geen risico vormt voor de betrokken patiënt (contra-indicaties)Enkel contra-indicaties voor het betrokken geneesmiddel moeten worden getoond
Evenwicht 3: de verwerking van persoonsgegevens moet transparant en voorspelbaar zijn, maar de reglementering ervan moet ook evolutie in functie van nieuwe (wetenschappelijke) inzichten of maatschappelijke behoeften ondersteunen

Elke verwerking van persoonsgegevens moet een rechtmatig doel dienen, dat vooraf duidelijk bepaald, transparant en voorspelbaar is voor de personen waarover ze worden verwerkt. De betrokkenen moeten terecht kunnen vertrouwen dat hun persoonsgegevens niet worden verwerkt voor andere doeleinden, die niet verenigbaar zouden zijn met het doel waarvoor ze worden ingezameld.

Het kader kan dus niet zomaar veranderen. Er moet anderzijds wel ruimte zijn om persoonsgegevens binnen de (verenigbare) doeleinden te verwerken in functie van wijzigende wetenschappelijke inzichten, technologische evoluties of maatschappelijke behoeften. De strijd tegen de COVID-19 pandemie heeft vaak pijnlijk duidelijk gemaakt hoe moeilijk het is om snel en daadkrachtig op te treden als de regelgeving te operationeel gedetailleerd is en te traag kan worden veranderd. Ook in ‘normale’ tijden is het niet wenselijk dat regelgeving dermate gedetailleerd is dat ze wenselijke evoluties verhindert.

Er wordt best een onderscheid gemaakt tussen enerzijds inhoudelijke en gegevensbeschermende doelstellingen, die in wetgeving moeten worden vastgelegd, en anderzijds de manier waarop deze doelstellingen worden bereikt. Bij de keuze van de manier waarop de doelstellingen operationeel worden bereikt, dient voldoende ruimte te worden gelaten om optimaal in te spelen op de concrete behoeften en risico’s van elke omgeving. Responsabilisering van de verwerkingsverantwoordelijken werkt in dit kader effectiever en efficiënter dan overnormering van bovenuit.

Voorbeelden

JaMaar
Wetgeving bepaalt nauwkeurig de regels voor de berekening van socialezekerheidsbijdragenDe concrete wijze van inzameling van relevante gegevens bij de werkgevers, de organisatie van de gegevensverwerking en de gebruikte technologieën moeten niet in detail verankerd worden in formele wetgeving en kunnen evolueren
Evenwicht 4: responsabilisering van de verwerkingsverantwoordelijke moet gepaard gaan met redelijke rechtszekerheid om sociale en economische ontwikkeling te bevorderen

Wie persoonsgegevens verwerkt, is verantwoordelijk om alle nodige maatregelen te nemen inzake gegevensbescherming. Maar welk beschermingsniveau is voldoende ? Welke maatregel is goed genoeg ?

De technologische uitdagingen veranderen voortdurend. Vaak is er zeer gespecialiseerde kennis nodig. De draagkracht van individuele personen en KMO’s is daarbij niet te vergelijken met de giganten van het internet. Torenhoge investeringen in veiligheid kunnen de economische haalbaarheid van nieuwe activiteiten en zakelijke modellen fnuiken. Zo kan het ontbreken van concrete, praktijkgerichte, haalbare spelregels leiden tot ontsporing in twee richtingen: de grote verantwoordelijkheidslast kan verlammend werken, of juist de vrije hand geven aan opportunisme tegen alle spelregels in.

De verwerking, zoals de uitwisseling van persoonsgegevens met derden, moet daarom kunnen geschieden op grond van platformen waarop de verwerkingsverantwoordelijke terecht kan vertrouwen, met voldoende rechtszekerheid, zonder zelf expert te moeten zijn over alle ICT-technische aspecten. Anders botst het principe van verantwoordelijkheid met dat van rechtszekerheid, en wordt het een onnodige rem op sociale en economische ontwikkeling.

Een recent voorstel van het Europees Parlement en de Raad betreffende Europese datagovernance erkent in zijn artikel 7 uitdrukkelijk de nood aan multidisciplinair samengestelde organen, zoals het Belgische Informatieveiligheidscomité, die ondersteuning bieden “by making available a secure processing environment for providing access for the re-use of data and by providing technical support in the application of tested techniques ensuring data processing in a manner that preserves privacy of the information contained in the data for which re-use is allowed”.

Voorbeelden 

JaMaar
Zorgverstrekkers moeten persoonsgegevens over patiënten elektronisch uitwisselen met veilige end-to-end vercijferingIndividuele zorgverstrekkers moeten niet zelf in staat zijn om te beoordelen welke lengte van de vercijferingssleutel gepast is. Ze kunnen vertrouwen op een eHealthbox met degelijke, ingebouwde end-to-end vercijfering goedgekeurd door het Informatieveiligheidscomité

Methoden en instrumenten

De Algemene Verordening Gegevensbescherming reikt methoden en instrumenten aan om deze evenwichten te bereiken. Daarnaast zijn transparantie, een multidisciplinaire aanpak en een goed uitgedachte governance met systeemwaarborgen zeer nuttig.

Risicobeheer en de gegevensbeschermingeffectbeoordeling (GEB)

Risicobeheer is het voortdurend uitvoeren van analyses en het nemen van de nodige maatregelen voor risicobeheersing. In een risicoanalyse worden de bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans of waarschijnlijkheid van het optreden ervan bepaald, en wordt vervolgens berekend wat de schade zou zijn, indien de bedreiging zich werkelijk voordoet.

Op grond van een risicoanalyse kunnen de volgende maatregelen worden genomen:

  • primaire preventie: voorkomen dat iets gebeurt of de kans dat het gebeurt verminderen/ verkleinen;
  • detectie: de (potentiële) schade detecteren wanneer een bedreiging optreedt;
  • secundaire preventie: de schade beperken wanneer een bedreiging optreedt;
  • herstel: maatregelen instellen die actief worden zodra iets is gebeurd, om het effect hiervan (deels) terug te draaien;
  • aanvaarding: geen (bijkomende) maatregelen nemen, de kans op het mogelijke gevolg van een bedreiging aanvaarden.

De bedoeling van een risicoanalyse is dat ze aangeeft hoe de risico’s beheersbaar zijn, of teruggebracht kunnen worden tot een aanvaardbaar niveau. Daarbij wordt naast een risicoanalyse ook een kosten-baten-analyse uitgevoerd.

De Algemene Verordening Gegevensbescherming verplicht elke verwerkingsverantwoordelijke overigens om, vooraleer hij persoonsgegevens verwerkt, na te gaan of de verwerking al dan niet een groot risico inhoudt voor de vrijheden en rechten van de betrokkenen. Zo ja, is hij verplicht om vóór aanvang van de verwerking een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren, waarvan de uitkomst eveneens kan leiden tot het besluit dat een voorafgaande raadpleging van de Gegevensbeschermingsautoriteit noodzakelijk is.

De beste preventie, met name de primaire, vernietigt de bewijzen van haar efficiëntie. Zij laat immers de schade niet ontstaan. Dit veroorzaakt mettertijd een valse indruk van nutteloosheid, gevolgd door verslapping van de aandacht en van de inspanning. Daarom is een volgehouden motivatie en sensibilisering onontbeerlijk. Tegen het bijna wetmatig verval van de preventieve inspanning moet voortdurend en zeer bewust worden ingegaan. Dit vergt een voortdurende opvijzeling van de veiligheidsmoraal. Misschien is dit wel een van de moeilijkste taken.

Gegevensbescherming door ontwerp en door standaardinstellingen

Gegevensbescherming en informatieveiligheid zijn geen technische producten, die door deskundigen in een informatiesysteem kunnen worden ingebouwd. Ze vloeien voort uit de zorgzame uitvoering van de dagelijkse opdracht van iedere persoon die bij de gegevensverwerking betrokken is. Een deskundige kan enkel raad geven, hulpmiddelen aanwijzen, toezicht houden, motiveren, aandacht trekken, oog en oor zijn voor de risico’s waaraan gegevensverwerkingen zijn blootgesteld. De sociale organisatie van de beveiliging is een conditio sine qua non van gelijk welk veiligheidssysteem. Zelfs de beste technologische hulpmiddelen kunnen nooit de sociale controle vervangen. Zij kunnen het veiligheidsniveau ongetwijfeld verbeteren, maar in laatste instantie berust veiligheid op een efficiënte organisatie.

De Algemene Verordening Gegevensbescherming moedigt verwerkingsverantwoordelijken aan om al in het vroegste stadium van het ontwerp van de verwerkingsactiviteiten de nodige organisatorische en technische maatregelen te treffen om gegevensbescherming vanaf het begin te waarborgen (“gegevensbescherming door ontwerp”). Standaard moeten verwerkingsverantwoordelijken ervoor zorgen dat persoonsgegevens worden verwerkt met het gepaste niveau van bescherming (bv. alleen noodzakelijke gegevens worden verwerkt, de opslag is in de tijd beperkt, de gegevens zijn beperkt toegankelijk) zodat persoonsgegevens standaard niet toegankelijk zijn voor een onbeperkt aantal personen (“gegevensbescherming door standaardinstellingen”).

Een informatiesysteem is maar zo veilig als zijn zwakste schakel. Daarom is een homogeen geheel van structurele, organisatorische, ICT-technische en juridische maatregelen nodig, zoniet zijn de inspanningen zinloos. De veiligheidsproblematiek moet daarom gestructureerd aangepakt worden en omvat in hoofdzaak de volgende fasen:

  • de inventarisatie van de bestaande beveiligingssituatie;
  • het vastleggen van prioriteiten in een veiligheidsbeleid;
  • het concreet vertalen van het veiligheidsbeleid naar maatregelen vastgelegd in een veiligheidsplan;
  • het implementeren van de geplande maatregelen;
  • het voortdurend toetsen of de bestaande maatregelen nog wel nodig zijn en worden nageleefd.
Transparantie

Het debat over het juiste evenwicht tussen gegevensbescherming en andere grondrechten wordt soms emotioneel gevoerd. Verschillen in perceptie tussen gebruikersgroepen zijn hierin zeker een factor. Maar het ontbreken van breed toegankelijke, betrouwbare en vlot begrijpelijke informatie over wie wat met welke gegevens werkelijk doet, is vermoedelijk een groter probleem. Een gebrek aan breed verspreide kennis over gegevensverwerking zet de deur open voor speculatie, wat zelfs kan uitmonden in samenzweringstheorieën.

Formele regelgeving is belangrijk als kader. Ze vraagt aan de verwerker om uitdrukkelijk aan te geven wie de betrokken partijen zijn, wat het doel is van de verwerking, het soort bewaarde gegevens, de voorziene bewaarduur, de verwerkingsverantwoordelijke, … Het resultaat is onder meer de privacyverklaring die deze informatie oplijst.

Maar de formele basisdocumenten zijn vaak geen voldoende basis voor de gewone burger om zich te kunnen informeren. Ze zijn vaak erg volledig maar ook moeilijk toegankelijk. Ze geven niet altijd een concreet antwoord op eenvoudige vragen van burgers, op de plaats waar burgers die informatie zoeken.

Overheden hebben bij uitstek een rol te spelen in het bieden van transparantie over hun eigen gegevensverwerking en –bescherming, bijvoorbeeld binnen thematische websites en portalen. Er is vandaag al heel wat informatie te vinden over  informatiebronnen bij de overheden, waaronder de sociale sector en de gezondheidszorg.

Ook de Gegevensbeschermingsautoriteit heeft naast haar rol als waakhond een belangrijke rol te spelen als expertisecentrum, dat vertrouwen kan uitstralen en debatten kan herleiden naar de feitelijke situatie.

Multidisciplinariteit

Een multidisciplinaire benadering is belangrijk voor het bereiken van vermelde evenwichten.

Het juist beoordelen van het proportionaliteitsprincipe vereist bijvoorbeeld domeinkennis. Het evalueren welke persoonsgegevens in welke gevallen meegedeeld mogen worden aan welke instanties voor bijvoorbeeld de correcte toepassing van de socialezekerheidsreglementering of het verstrekken van kwalitatief hoogstaande zorg, vereist kennis van deze reglementering of van de goede praktijken op het vlak van gezondheidszorg.

Het vermijden van risico’s op het vlak van gegevensbescherming zonder de toegevoegde waarde van gegevensverwerking onnodig te hypothekeren, vereist inzicht in de mogelijke structurele, organisatorische en ICT-technische informatieveiligheidsmaatregelen om bedreigingen te voorkomen.

Daarom is het belangrijk dat verwerkingsverantwoordelijken zich laten bijstaan door multidisciplinaire data protection officers (DPO’s) en dat ook organen als de Gegevensbeschermingsautoriteit  of het Informatieveiligheidscomité multidiscplinair zijn samengesteld: juristen gespecialiseerd in de reglementering inzake bescherming van de persoonlijke levenssfeer, ICT-experten in het domein van de informatieveiligheid, maar ook domeinexperten in de materies waarmee ze worden geconfronteerd.

Medebeheer door betrokkenen

Wie is er beter geplaatst dan de rechtstreeks betrokken personen om te beoordelen welke gegevensverwerking opportuun en proportioneel is ? Het principe van de geïnformeerde toestemming komt hier slechts voor een stuk aan tegemoet. Allerlei online-diensten vragen ons om toestemming – eenmalig, op basis van zeer minimale informatie over het doel, en zonder gesprek over welke gegevensverwerking we proportioneel achten. Het is vaker formalisme dan echte inspraak.

In een overheidscontext ligt dit nog anders. Er is immers geen geïnformeerde toestemming nodig om ons een verkeersboete, belastingaanslag of oproeping voor de verkiezingen te kunnen sturen. De gegevensverwerking gebeurt binnen de overheid vaak vanuit een wettelijke opdracht.

Net omdat de wetgever niet alle praktische consequenties kan voorzien, is het essentieel dat de betrokkenen (data subjects) individueel, via experts of gebruikersgroepen inspraak en medebeheer krijgen. Dit helpt om perverse effecten van goedbedoelde wetgeving te vermijden.

In de sociale sector en de gezondheidszorg zijn alle groepen van betrokkenen zelf mee verantwoordelijk voor de organisatie van de gegevensverwerking. Artsen, ziekenfondsen en patiëntenorganisaties bepalen in het gebruikerscomité en/of het beheerscomité van het eHealth-platform zelf mee welke gegevensuitwisseling wenselijk en proportioneel is. Organisaties van werkgevers, werknemers en zelfstandigen zitten mee aan het roer in het beheerscomité van de Kruispuntbank voor Sociale Zekerheid.

Medebeheer is ook in andere sectoren mogelijk en wenselijk.