Deel 2: Het delen van gegevens

In dit tweede deel 'Het delen van gegevens' van het rapport 'Bevoegdheden en het delen van gegevens' staan we even stil bij de belangrijkste punten en een aantal kernconcepten die doorheen het rapport worden gebruikt.

• Onderscheid persoonsgegevens en niet-persoonsgegevens;
• Delen van gegevens: definitie;
• Rechtmatigheid;
• Rechtsgrondslag;
• Toegang en beveiliging;
• Governance/beheer.

De Algemene Verordening Gegevensbescherming (AVG) heeft betrekking op persoonsgegevens. Dit zijn gegevens die zowel toelaten om een natuurlijk persoon te identificeren, als gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon. Personen kunnen geïdentificeerd worden aan de hand van een naam of adres (‘rechtstreekse identificatie’), maar het kan ook gaan om IP-adressen, cookie identificatoren of andere factoren (‘onrechtstreekse identificatie’). Als een persoon niet onmiddellijk geïdentificeerd kan worden, moet nagegaan worden of identificatie mogelijk is of niet.

Pseudonieme gegevens vallen onder de toepassing van de AVG. De AVG is niet van toepassing op anonieme gegevens. Hier moet wel worden nagegaan of geen her-identificatie mogelijk is. Het probleem is dat big data de mogelijkheid van her-identificatie vereenvoudigt door de combinatie van verschillende gegevenssets. Anonimiseren van persoonsgegevens is dus niet altijd permanent en niet elke anonimiseringsmethode is even geschikt voor de bescherming van gegevens. Gegevens circuleren immers op het internet of worden verhandeld. Nieuwe sets van gegevens kunnen worden aangemaakt en derde partijen kunnen in het bezit zijn van informatie die het linken van gegevens toelaat waarvan de originele verwerkingsverantwoordelijke geen weet heeft. Het wordt dus steeds moeilijker om duidelijke grenzen tussen persoonsgegevens en niet-persoonsgebonden gegevens te trekken.

Niet-persoonsgebonden gegevens worden gedefinieerd als andere gegevens dan persoonsgegevens. Het gaat over gegevens die geen betrekking (meer) hebben op een geïdentificeerde of identificeerbare natuurlijke persoon zoals gegevens over weersomstandigheden, voor zover deze niet gekoppeld worden aan een persoon uiteraard. Het kan dus ook gaan over persoonsgegevens die werden geanonimiseerd.

De kans bestaat dat organisaties beschikken over zogenaamde ‘gemengde gegevenssets’, die zowel persoonsgebonden als niet-persoonsgebonden gegevens bevatten. Dit betekent voor deze soort gegevenssets dat:

• niet-persoonsgebonden gegevens onder de Verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens vallen;
• persoonsgegevens onder de AVG vallen.

Indien de beide sets van gegevens ‘onlosmakelijk met elkaar verbonden zijn’, zal de AVG van toepassing zijn op de volledige gegevensset, ook indien persoonsgegevens slechts een klein deel van de set uitmaken.

De AVG voorziet geen formele definitie, maar we kunnen wel stellen dat het delen van gegevens sowieso als een verwerking beschouwd kan worden. De Britse Information Commissioner’s Office (ICO) verwoordt het als het vrijgeven van gegevens van een of meer organisaties aan een derde organisatie of organisaties, of het delen van gegevens tussen verschillende onderdelen van een organisatie. Het delen van gegevens en uitwisselen van informatie is niet nieuw. Maar de technologische evolutie maakt het mogelijk om dit sneller te doen en op een nog nooit eerder geziene schaal.

Het is belangrijk om altijd de principes van de AVG in het achterhoofd te houden. Elke verwerking moet in beginsel rechtmatig, behoorlijk en transparant zijn. Bovendien moet een verwerking ook in overeenstemming zijn met de andere beginselen van artikel 5 van de AVG, zijnde:

• doelbinding: de gegevens zijn voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt;
• minimale gegevensverwerking: de gegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt;
• juistheid: de gegevens moeten juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld te wissen of te rectificeren;
• opslagbeperking: de gegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is;
• integriteit en vertrouwelijkheid: het nemen van passende technische of organisatorische maatregelen zodat de gegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging;
• verantwoordingsplicht: de verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en kan dit aantonen

Overeenkomsten inzake het uitwisselen van gegevens moeten een duidelijke en transparante omschrijving bevatten van het te bereiken doel van het overheidsbeleid en de wettelijke basis die hiervoor ingeroepen wordt. Er moet een afweging worden gemaakt of de voordelen in evenwicht zijn met de bescherming van de rechten van individuen op het gebied van gegevensbescherming en privacy.

Artikel 6 van de AVG heeft betrekking op de rechtmatigheid van de verwerking. Er zijn verschillende mogelijke rechtsgrondslagen voorzien, maar voor de publieke sector lijkt artikel 6 (1) (e) alvast het meest aangewezen. Deze bepaling stelt dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. De basis voor dergelijke verwerkingen moet vervat liggen in EU recht of in nationale wetgeving.

Daarnaast moet het Unierecht of de nationale wetgeving beantwoorden aan een doelstelling van algemeen belang en moet deze evenredig zijn met het nagestreefde gerechtvaardigde doel.

Overheidsdiensten ontlenen hun bevoegdheden uit (inter)nationale, regionale of lokale wetgeving. Om na te gaan of het delen van bepaalde gegevens dus rechtmatig (en mogelijk) is, is het aangewezen om deze wetgeving als uitgangspunt te nemen. De kans bestaat dat deze wetgeving expliciet bepalingen bevat op het gebied van het delen van gegevens. Denk bijvoorbeeld aan de Wet op het Politieambt (WPA). In de meeste gevallen zal dit echter niet het geval zijn. In dergelijke gevallen kan deze wetgeving wel als leidraad dienen om een antwoord te vinden op de vraag of het delen van gegevens in bepaalde gevallen toegelaten is. De toepasselijke wetgeving zal vermoedelijk de functies en de doelstellingen van de organisatie definiëren, de taken weergeven die ze moet doen, en de bevoegdheden en de mogelijkheden weergeven die de organisatie heeft om deze doelstellingen te bereiken. Daarom is het noodzakelijk om te identificeren waar het delen van gegevens zou kunnen passen in deze hele structuur.

Er zijn drie mogelijkheden die zich voor kunnen doen:

1. Expliciete verplichtingen: in bepaalde gevallen zal een overheidsinstantie wettelijk verplicht zijn om bepaalde informatie met een andere (benoemde) organisatie te delen. Dit zal vaak het geval zijn in zeer specifieke omstandigheden.
2. Uitdrukkelijke bevoegdheden: soms kan een overheidsinstantie een uitdrukkelijke bevoegdheid hebben om gegevens te delen. Zoals bij een expliciete verplichting zal dit vaak bedoeld zijn om de openbaarmaking van informatie voor bepaalde doeleinden mogelijk te maken. Dit is bijvoorbeeld het geval in de WPA.
3. Impliciete bevoegdheden: in de meeste gevallen zal de wetgeving niets vermelden over het delen van gegevens. In deze omstandigheden zou de mogelijkheid kunnen bestaan om een beroep te doen op een impliciete bevoegdheid, die afgeleid kan worden uit de uitdrukkelijke bepalingen in de wetgeving. De reden hiervoor is dat de expliciete wettelijke bevoegdheden kunnen worden gebruikt om de organisatie te machtigen om andere zaken te doen die redelijkerwijs bijkomstig zijn aan wat (wel) uitdrukkelijk is toegestaan. Om te beslissen of een overheidsinstantie zich op een impliciete bevoegdheid kan beroepen, moet deze nagaan aan welke activiteit de voorgestelde gegevensuitwisseling "redelijkerwijs incidenteel" zou zijn, en vervolgens nagaan of de organisatie de bevoegdheid heeft om die activiteit uit te voeren.

Naast deze rechtsgrondslag zou ook legitiem belang als rechtsgrondslag in aanmerking kunnen komen, maar artikel 6 (1) AVG stelt duidelijk dat dit niet geldt voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Ook toestemming conform artikel 6 (1) (a) van de AVG zal in de praktijk moeilijk zijn omdat er vaak een onevenwicht is tussen de overheid en de burger, waardoor deze laatste niet in staat is om volledig ‘vrij’ zijn/haar toestemming te geven.

De toegang tot persoonsgegevens zou beperkt moeten worden tot een klein aantal personen. Overheidsinstanties moeten ook een ‘need to know’ beleid hanteren. Daardoor wordt verzekerd dat toegang enkel mogelijk is indien nodig en dat enkel de bevoegde personen toegang tot deze gegevens hebben. Er moet ook nagedacht worden over het al dan niet verder delen van gegevens met derden (andere overheden of privé sector).

Overheidsinstanties die gegevens delen, zullen hun eigen verantwoordelijkheden en aansprakelijkheden hebben met betrekking tot de gegevens die zij verwerken. Het is aangeraden om een kader uit te werken over het delen van gegevens, waarin een reeks operationele regels worden vastgelegd. Dit kader wordt ook best op regelmatige tijdstippen herzien om te zorgen dat (i) het initiatief aan de doelstellingen voldoet, (ii) de waarborgen in overeenstemming blijven met eventuele risico's, (iii) de gegevens accuraat en actueel zijn, (iv) een consistent bewaarbeleid voor alle gegevens wordt gevoerd en (v) de passende beveiligingsmaatregelen worden gehandhaafd.

Samengevat moet een dergelijke regeling het volgende bevatten:

• De rechtsgrondslag waar ze zicht op baseert;
• De doelstellingen van het delen;
• Welke gegevens gedeeld zullen worden;
• Kwaliteit van de gegevens;
• Principe van gegevensminimalisering;
• Beveiliging en toegang;
• Bewaartermijnen;
• Procedures in verband met de uitoefening van de rechten van de betrokkenen (bv. recht van toegang, klachten,…);
• Regelmatige evaluatie.

1. Verordening (EU) 2018/1807 van het Europees Parlement en de Raad inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie, 14 november 2018, Pb. L 303/59.
2. Voor meer informatie zie T. Gils, E. Wauters, B. Bénichou, J. De Bruyne & P. Valcke, “Artificiële Intelligentie en gegevensbescherming: een verkennende gids”, mei 2020, Kenniscentrum Data & Maatschappij. Zie ook de Infofiche: Wanneer is de AVG wel/niet van toepassing?
   https://data-en-maatschappij.ai/uploads/publications/Fiche-AI-AVG.pdf
3. ICO, “Data sharing: a code of practice”, 2019, 105 p.
   https://ico.org.uk/media/2615361/data-sharing-code-for-public-consultation.pdf
4. Irish Data Protection Commission, “Data Sharing in the public sector”, April 2019, 3
   https://www.dataprotection.ie/sites/default/files/uploads/2019-05/190418%20Guidance%20on%20Data%20Sharing%20in%20the%20Public%20Sector.pdf
5. Artikels 44/11/4 -44/11/9 bevatten een aantal strikt afgebakende mogelijkheden voor het delen van gegevens in bepaalde omstandigheden.
6. ICO, “Data sharing: a code of practice”, 2019, 105 p.
7. Zie art. 44/11/3sexies WPA: “De in de lokale technische gegevensbanken vervatte persoonsgegevens en informatie worden doorgezonden aan de overeenstemmende nationale technische gegevensbank.”
8. Ibid.
9. Zie WP29 Groep Gegevensbescherming Artikel 29, “Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679”, april 2018, 37 p.
10. Zie bijvoorbeeld artikel 20 van de WVG dat een nieuwe verplichting invoert voor federale overheden die persoonsgegevens doorgeven aan derden. Elke mededeling van persoonsgegevens moet namelijk voortaan worden geformaliseerd aan de hand van een protocol dat wordt gesloten tussen de overheid die de gegevens doorgeeft en de verwerkingsverantwoordelijke ontvanger van de persoonsgegevens:
    https://gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.-02-2020.pdf
11. Zie ook AVG-decreet dat voorziet in de verplichting tot het opmaken van een protocol voor elke elektronische mededeling van persoonsgegevens door een Vlaamse instantie naar een andere Vlaamse instantie of naar een externe overheid
    https://overheid.vlaanderen.be/digitale-overheid/faq-vtc/protocol
12. ICO, “Data sharing: a code of practice”, 2019, 105 p
    https://ico.org.uk/media/2615361/data-sharing-code-for-public-consultation.pdf
13. Irish Data Protection Commission, “Data Sharing in the public sector”, April 2019, 3,
    https://www.dataprotection.ie/sites/default/files/uploads/2019-05/190418%20Guidance%20on%20Data%20Sharing%20in%20the%20Public%20Sector.pdf