← België

Koninklijk besluit ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van pe

Kort samengevat

Dit Koninklijk Besluit is een uitvoeringsbesluit van de wet van 8 december 1992 ter bescherming van de persoonlijke levenssfeer bij de verwerking van persoonsgegevens, aangepast aan de Europese richtlijn 95/46/EG. Het doel is om de regelgeving transparanter te maken door vele eerdere uitvoeringsbesluiten te vervangen door één algemeen besluit.

Wat het reguleert

Wie het betreft

Kernpunten

📄 Wettekst
13 FEBRUARI 2001. - Koninklijk besluit ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens VERSLAG AAN DE KONING 1. Inleiding De wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens is door de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten aangepast aan de bepalingen van de Europese richtlijn 95/46/EG van 24 oktober 1995. De omzetting van deze richtlijn heeft de wet van 8 december 1992 ingrijpend gewijzigd zodat een nieuw uitvoeringsbesluit nodig is. Krachtens artikel 32 van de Europese richtlijn worden de bepalingen van die richtlijn door de lidstaten pas in nationaal recht omgezet wanneer de nodige wettelijke en bestuursrechtelijke maatregelen in werking zijn getreden. De termijn voor de omzetting is op 24 oktober 1998 verstreken. Voorafgaand aan de omzetting van de Europese richtlijn door de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten zijn een vijftiental koninklijke besluiten uitgevaardigd ter uitvoering van de wet van 8 december 1992. Dit groot aantal uitvoeringsbesluiten heeft de transparantie van de regelgeving in dit verband niet bevorderd. Een belangrijk oogmerk van het besluit dat U thans wordt voorgelegd, bestaat dan ook erin om vrijwel alle koninklijke besluiten uitgevaardigd op grond van de wet van 8 december 1992 op te heffen en in de mate van het mogelijke te vervangen door een enkel algemeen besluit. Er moet worden opgemerkt dat richtlijn 95/46/EG overeenkomstig artikel 33 ervan vanaf juni 2001 zal worden geëvalueerd rekening houdende met de ontwikkelingen van de informatietechnologie en in het licht van de werkzaamheden betreffende de informatiemaatschappij. Het takenpakket dat de wet van 8 december 1992, na de wijziging ervan door de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten, aan de Koning opdraagt, is zeer uitgebreid. Niet minder dan 35 bepalingen van de wet moeten of kunnen door de Koning worden uitgevoerd. 1) art.3, § 6 : machtiging voor het Europees Centrum voor vermiste en seksueel uitgebuite kinderen om af te wijken van sommige bepalingen van de wet, daaronder begrepen de duur en de voorwaarden van de machtiging, alsook het statuut van de aangestelde voor de gegevensbescherming; 2) art.4, § 1, 2 : latere verwerking van persoonsgegevens voor wetenschappelijke doeleinden; 3) art.4, § 1, 5° : bewaring van persoonsgegevens voor wetenschappelijke doeleinden; 4) art.5, f) : toelaatbaarheid van een verwerking van persoonsgegevens op grond van afweging van belangen; de Koning kan de gevallen bepalen waarin van deze rechtvaardigingsgrond geen gebruik mag worden gemaakt; 5) art.6, § 2, a) : afwijking van het beginsel van toelaatbaarheid van verwerking van gevoelige gegevens op grond van de schriftelijke toestemming van de betrokken persoon; 6) art.6, § 2, g) : voorwaarden voor de verwerking van gevoelige gegevens voor wetenschappelijke doeleinden; 7) art.6, § 2, k) : individuele machtiging voor de verwerking van gevoelige gegevens door verenigingen met rechtspersoonlijkheid of instellingen van openbaar nut die als hoofddoel de verdediging van de rechten van de mens en van de fundamentele vrijheden hebben; 8) art.6, § 3 : individuele machtiging voor de verwerking van persoonsgegevens die het seksueel leven betreffen door een vereniging met rechtspersoonlijkheid of door een instelling van openbaar nut met als hoofddoel de evaluatie, de begeleiding en de behandeling van personen van wie het seksueel gedrag kan worden omschreven als een misdrijf en die voor de verwezenlijking van dat doel door de bevoegde overheid worden erkend en gesubsidieerd; 9) art.6, § 4 : bijzondere voorwaarden voor de verwerking van gevoelige gegevens; 10) art.7, § 2, a) : mogelijkheid voor de Koning om te bepalen in welke gevallen het verbod op verwerking van gegevens betreffende de gezondheid niet door de schriftelijke toestemming van de betrokkene kan worden opgeheven; 11) art.7, § 2, k) : voorwaarden voor de verwerking van gezondheidsgegevens ten behoeve van wetenschappelijk onderzoek; 12) art.7, § 3 : bijzondere voorwaarden voor de verwerking van gezondheidsgegevens; 13) art.7, § 4, tweede lid : mogelijkheid voor de Koning om te bepalen welke categorieën van personen als beroepsbeoefenaars in de gezondheidszorg in de zin van deze wet worden beschouwd; 14) art.8, § 2, e) : voorwaarden voor de verwerking van gerechtelijke persoonsgegevens voor wetenschappelijke doeleinden; 15) art.8, § 4 : bijzondere voorwaarden voor de verwerking van gerechtelijke persoonsgegevens; 16) art.9, § 1, e) : aanvullende informatie die de verantwoordelijke op grond van de specifieke aard van de verwerking moet verstrekken op het tijdstip dat hij de gegevens bij de betrokken persoon verzamelt; 17) art.9, § 2, e) : aanvullende informatie die de verantwoordelijke op grond van de specifieke aard van de verwerking moet verstrekken wanneer hij de gegevens op een andere wijze dan bij de betrokken persoon zelf verzamelt; 18) art.9, § 2, derde lid : voorwaarden voor vrijstelling van de verplichting tot kennisgeving opgelegd door art. 9, § 2; 19) art.10, § 1, tweede lid : aanwijzing van de personen bij wie het inzagerecht kan worden uitgeoefend; 20) art.10, § 1, vierde lid : mogelijkheid voor de Koning om nadere regels voor de uitoefening van het inzagerecht te bepalen; 21) art.12, § 2 : aanwijzing van de personen bij wie het recht op verbetering en het recht op verzet moeten worden uitgeoefend; 22) art.13, tweede lid : wijze waarop het onrechtstreeks inzagerecht door tussenkomst van de Commissie kan worden uitgeoefend; 23) art.13, vierde lid : informatie die de Commissie aan betrokkene mag meedelen in geval van een verwerking door politiediensten met het oog op identiteitscontrole; 24) art.16, § 4, derde lid : bepaling van aangepaste normen inzake informaticaveiligheid bij de verwerking van persoonsgegevens; 25) art.17, § 8 : vrijstelling van aangifte voor bepaalde categorieën van verwerkingen van persoonsgegevens; 26) art.17, § 9 : vaststelling van de bijdrage die de verantwoordelijke bij de aangifte moet betalen; 27) art.17bis : vaststelling door de Koning van de categorieën van verwerkingen die specifieke risico's inhouden voor de rechten en vrijheden van de betrokken personen en stelt voor deze verwerkingen bijzondere voorwaarden vast om die rechten en vrijheden te waarborgen; 28) art.18, derde lid : wijze van inzage in het openbaar register van de geautomatiseerde verwerkingen; 29) art.21, § 2 : bepaling door de Koning van de categorieën van verwerkingen van persoonsgegevens waarvoor en in welke omstandigheden de doorzending van persoonsgegevens aan landen buiten de Europese Gemeenschap niet is toegestaan; 30) art.22, § 2 : mogelijkheid voor de Koning een doorzending of een geheel van doorzendingen van persoonsgegevens naar een land buiten de Europese Gemeenschap toe te staan dat geen waarborgen voor een passend beschermingsniveau biedt indien de verantwoordelijke voor de verwerking voldoende waarborgen biedt; 31) art.32bis, § 1 : met het oog op de toepassing van internationale verdragen kan de Koning de Commissie voor de bescherming van de persoonlijke levenssfeer aanwijzen om krachtens deze verdragen opdrachten uit te voeren die identiek zijn aan die welke deze wet aan de Commissie toekent; 32) art.32bis, § 2 : de Koning bepaalt de nadere regels van de vertegenwoordiging van de Commissie door bepaalde van haar leden of personeelsleden bij internationale instanties; 33) art.44 : de Koning kan nadere regels stellen voor de toepassing van de bepalingen van deze wet teneinde rekening te houden met de specificiteit van de onderscheiden sectoren; 34) art.45 : de Koning kan de overheden aanwijzen welke in oorlogstijd of in de tijd die overeenkomstig artikel 7 van de wet van 12 mei 1927 op de militaire opeisingen daarmee gelijkstaat, alsmede tijdens de bezetting van het Belgisch grondgebied door de vijand, het bevel geven om de verwerkte gegevens te vernietigen of die zelf belast zijn met de vernietiging van die gegevens. De Koning kan tevens de bedragen vaststellen van de vergoeding voor de vernietigingen bepaald in het vorige lid; 35) art.52 : bepaling van de datums waarop de artikelen van de wet in werking treden en van de termijnen waarbinnen de verantwoordelijken zich naar de bepalingen van de wet moeten schikken. In het besluit dat U thans wordt voorgelegd worden de volgende bepalingen (nog) niet ten uitvoer gelegd : 1) art.3, § 6, 2) art.5, f), 3) art.6, § 2, k), 4) art.6 § 3, 5) art.7, § 4, tweede lid, 6) art.16, § 4, derde lid, 7) art.17bis, 8) art.21, § 2, 9) art.22, § 2, 10) art.32bis, § 1, 11) art.32bis, § 2, 12) art.44, 13) art.45. Zeven van deze nog niet uitgevoerde bepalingen van de wet bieden aan de Koning de mogelijkheid maatregelen uit te vaardigen (« de Koning kan . »). Drie andere hebben betrekking op individuele machtigingen om van de wet af te wijken, al dan niet op verzoek van de betrokken organisaties zelf (Child Focus, Amnesty International, CRASC, . ). Behalve deze individuele machtigingsbesluiten, die overigens in een algemeen uitvoeringsbesluit niet thuishoren, en de « facultatieve » taken die de wet aan de Koning opdraagt, worden slechts drie wetsbepalingen op grond van dit besluit nog niet ten uitvoer gelegd, te weten art. 17bis, art. 21, § 2 en art. 22, § 2. Artikel 17bis, eerste lid, bepaalt dat de Koning de categorieën van verwerkingen vaststelt die bijzondere risico's inhouden teneinde voor deze verwerkingen bijzondere voorwaarden vast te stellen. Deze opdracht kan worden uitgevoerd in specifieke besluiten betreffende de verwerking van persoonsgegevens, bijvoorbeeld in specifieke sectoren. Krachtens artikel 17bis, tweede lid, kan de Koning bepalen dat de verantwoordelijke voor de verwerking een persoon belast met de gegevensbescherming aanstelt die op onafhankelijke wijze de toepassing van deze wet en van de uitvoeringsbesluiten ervan moet waarborgen. De Raad van State onderstreept in zijn advies 30.495/2 (bladzijde 5 ) het volgende : « De stellers van het ontwerp dienen te onderzoeken of het zinvol is nu reeds artikel 17bis van de wet ten uitvoer te leggen, wat betreft de artikelen 6 tot 8 van de wet bedoelde gegevens ( . ). Doordat de mogelijke verwerkingen van die gevoelige gegevens - inzonderheid de in de artikelen 6 en 8 genoemde gegevens behoren tot de categorie van verwerkingen die een verhoogd risico opleveren wat betreft de rechten en vrijheden van de betrokkenen, dienen immers op korte termijn bijzondere waarborgen te worden ingesteld, zoals bijvoorbeeld de verplichting om een persoon belast met de gegevensbescherming aan te wijzen » (sic). In dit koninklijk besluit is terzake niets bepaald, want de voorkeur is eraan gegeven andere waarborgen voor de verwerking van gevoelige gegevens vast te stellen. De iure legt de wet aan de Koning ter zake in rechte geen verplichtingen op maar biedt Hem de mogelijkheid (de Koning kan). De facto heeft het voorstel om een persoon belast met de gegevensbescherming aan te stellen, dat voortvloeit uit richtlijn 95/46/EG en inzonderheid uit de Duitse praktijk, in België eigenlijk nooit veel weerklank gevonden. Ingeval het toevallig noodzakelijk wordt, moet deze materie bij een specifiek koninklijk besluit worden geregeld. Art 21, § 2 betreft de zogenaamde « zwarte lijst » van landen buiten de Europese Gemeenschap waarnaar doorzending van persoonsgegevens niet is toegestaan. Artikel 21, § 1, van de wet bepaalt dat persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om te worden verwerkt, slechts naar een land buiten de Europese Gemeenschap mogen worden doorgezonden indien dat land een passend beschermingsniveau waarborgt. Op grond van artikel 21, § 2, moet de Koning bepalen voor welke categorieën van verwerkingen van persoonsgegevens en in welke omstandigheden de doorzending van persoonsgegevens naar landen buiten de Europese Gemeenschap niet is toegestaan. Dit koninklijk besluit kan pas worden uitgevaardigd wanneer het overleg daarover tussen de lidstaten en de Europese Commissie verder gevorderd is. Thans wordt dit proces begeleid door het Comité dat op grond van artikel 31 van de Europese richtlijn 95/46/EG is opgericht met vertegenwoordigers van alle lidstaten en onder voorzitterschap van de Europese Commissie. In afwachting van een meer precieze regelgeving ter zake moet elke verantwoordelijke voor een verwerking die persoonsgegevens wil uitvoeren naar een land buiten de Europese Gemeenschap, nagaan of dat land een passend beschermingsniveau waarborgt. Artikel 21, § 1, tweede lid, van de wet voorziet in een aantal criteria als antwoord op die vraag. Indien het risico bestaat dat de doorzending op grond van artikel 21, § 1, van de wet betwist kan worden omdat het land van bestemming geen passend beschermingsniveau biedt, moet de verantwoordelijke nagaan of de doorzending niet valt onder een van de in artikel 22, § 1, bedoelde uitzonderingen. Hij kan bij voorbeeld de uitdrukkelijke toestemming voor de doorzending van de gegevens van de betrokkenen hebben verkregen, de doorzending kan noodzakelijk zijn voor de tenuitvoerlegging van een overeenkomst tussen de verantwoordelijke en de betrokkene of voor het aangaan of uitvoeren van een overeenkomst gesloten in het belang van de betrokkene. In artikel 22, § 2, worden de waarborgen bepaald waarin de verantwoordelijken voor de verwerking moeten voorzien wanneer zij gegevens uitvoeren naar landen buiten de Europese Unie die geen passend beschermingsniveau bieden en de doorzending niet onder de uitzonderingen bedoeld in artikel 22, § 1, van de wet valt. Die waarborgen, die onder meer kunnen voortvloeien uit een overeenkomst, moeten voorzien in een beschermingsniveau dat overeenkomt met het passend beschermingsniveau en dat noch hoger en noch lager is, zoniet wordt discriminatie tussen het gegevensverkeer veroorzaakt. De waarborgen moeten uit dezelfde bestanddelen zijn samengesteld. De bestanddelen van het passend beschermingsniveau worden vastgesteld in het kader van onderhandelingen die de Europese Unie en diverse derde Staten thans voeren. Bijgevolg moet ook in dit geval op het resultaat van die onderhandelingen worden gewacht alvorens de waarborgen te bepalen die de verantwoordelijken voor de verwerking moeten bieden wanneer zij gegevens uitvoeren naar landen buiten de Europese Unie die geen passend beschermingsniveau waarborgen. Dit ontwerp van koninklijk besluit kan worden geraadpleegd op de internetsite van het Ministerie van Justitie teneinde de actoren van de onderscheiden politieke, economische en sociale sectoren de mogelijkheid te bieden om de specifieke problemen kenbaar te maken die de bescherming van gegevens in hun respectieve sectoren meebrengt. Een twintigtal reacties uit het bedrijfsleven, de administratie, onderzoeksinstellingen, NGO's en particulieren zijn aan het ministerie meegedeeld. Die reacties hebben de aandacht gevestigd op een aantal onduidelijkheden in de tekst, evenals op een aantal zwakke punten of moeilijkheden om de tekst in de praktijk om te zetten, die zoveel mogelijk zijn verholpen. De tekst van het koninklijk besluit is overigens twee maal ter fine van advies toegezonden aan de Raad van State (advies 29.159/2 van 21 juni 1999 en 30.495/2 van 8 november 2000) en aan de Commissie voor de bescherming van de persoonlijke levenssfeer (advies 8/1999 van 8 maart 1999 en 25/1999 van 23 juli 1999). De tekst van het koninklijk besluit is dan ook meermaals gewijzigd en opnieuw genummerd, zulks ingevolge die adviezen en naar aanleiding van de reacties die via internet zijn ontvangen. Bijgevolg stemmen de artikelnummers waaraan in de adviezen van de Commissie voor de bescherming van de persoonlijke levenssfeer en van de Raad van State is gerefereerd, niet langer overeen met de huidige artikelen. De Raad van State drukt in zijn advies 30.495/2, bladzijde 30, de volgende wens uit : « Voor een goed begrip van de adviezen van de Commissie, van het advies van de Raad van State en van het verslag aan de Koning is het wenselijk bij dat verslag een concordantietabel te voegen met de nummers van de artikelen van het besluit in de opeenvolgende versies ervan. » Jammer genoeg kan met de wens van de Raad van State geen rekening worden gehouden aangezien de oorspronkelijke tekst van het besluit is opgesteld door de vorige regering die niet alle versies aan de huidige regering heeft bezorgd. Teneinde aan de wens van de Raad van State tegemoet te komen, zijn de opmerkingen van de Commissie voor de bescherming van de persoonlijke levenssfeer en van de Raad van State zo volledig mogelijk overgenomen in de passages van het verslag aan de Koning betreffende die artikelen. 2. Artikelsgewijze bespreking HOOFDSTUK I.- Definities Artikel 1 De term « gecodeerde persoonsgegevens » bedoeld in punt 3° heeft betrekking op persoonsgegevens die geen element bevatten op grond waarvan de persoon kan worden geïdentificeerd en waaraan een code is toegekend als enig middel om het gegeven met de betrokken persoon in verband te brengen. Met de term « niet-gecodeerde persoonsgegevens » bedoeld in punt 4° wordt verwezen naar een restcategorie van persoonsgegevens, te weten alle gegevens die niet gecodeerd zijn in de zin van dit besluit. Oorspronkelijk is in de tekst van het voorontwerp van koninklijk besluit « identificerende persoonsgegevens » gebruikt. De Commissie voor de bescherming van de persoonlijke levenssfeer heeft in haar advies 8/99 (blz. 2) evenwel geoordeeld dat die term een te beperkte draagwijdte had. » Krachtens de voorgestelde definitie zijn hieronder immers enkel de persoonsgegevens begrepen die de betrokkene op zich identificeren. De Commissie is van oordeel dat hieronder evenwel ook de persoonsgegevens dienen te worden begrepen die op zich niet de betrokkene identificeren, maar die door de verantwoordelijke voor de verwerking voor historische, statistische of wetenschappelijke doeleinden toch in verband kunnen worden gebracht met een door hem geïdentificeerd of identificeerbaar persoon. De Commissie stelt dan ook voor de uitdrukking « niet-gecodeerde persoonsgegevens » te gebruiken. In dit besluit wordt voornoemd voorstel gevolgd. Met de term « anonieme gegevens » bedoeld in punt 5° wordt verwezen naar gegevens die niet met een betrokken persoon in verband kunnen worden gebracht en derhalve geen (of niet langer) persoonsgegevens zijn. Zoals in de memorie van toelichting bij aanbeveling 97 (18) van 30 september 1997 van de Raad van Europa (punt 53) betreffende de bescherming van persoonsgegevens verzameld en verwerkt voor statistische doeleinden wordt gesteld, bestaat de anonimisering in de schrapping van de identificatiegegevens zodat de individuele gegevens niet met naam aan de diverse betrokkenen kunnen worden toegeschreven. De verwijdering van identificatiegegevens kan niet altijd verhinderen dat zij weer worden geïdentificeerd : het risico dat hun identiteit wordt onthuld, kan niet altijd geheel worden uitgeschakeld. Een « intermediaire organisatie » in de zin van punt 6° is de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of de openbare overheid, andere dan de verantwoordelijke voor de verwerking van de niet-gecodeerde persoonsgegevens, belast met de codering van de gegevens, te weten met de omzetting van niet-gecodeerde persoonsgegevens in gecodeerde. Naar gelang van het geval wordt de intermediaire organisatie beschouwd : - als een verwerker van de verantwoordelijke voor de verwerking die persoonsgegevens (zie infra, art. 8 en 9 ) wenst te coderen; - of als een derde ten aanzien van de verantwoordelijke voor de verwerking die de gegevens (zie infra art. 10) wenst te coderen. HOOFDSTUK II. - Latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden In artikel 4, § 1, 2°, van de wet, waarbij artikel 6, a, van richtlijn 95/46/EG wordt omgezet, is bepaald dat persoonsgegevens voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en later niet mogen worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, onder meer met de redelijke verwachtingen van de betrokken persoon en met de toepasselijke wets- en verordeningsbepalingen, onverenigbaar is met die doeleinden. Een latere verwerking voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd wanneer zij wordt verricht onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. In artikel 4, § 1, 5°, van de wet, waarbij artikel 6 e) van richtlijn 95/46/EG wordt omgezet, is bepaald dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, en wel niet langer dan nodig voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of later worden verwerkt. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die na voornoemde periode voor historische, statistische of wetenschappelijke doeleinden worden bewaard. Noch in de wet van 8 december 1992, noch in de parlementaire werkzaamheden ter zake worden de passende waarborgen nader omschreven. In considerans 29 van richtlijn 95/46/EG wordt evenwel gesteld dat deze garanties met name moeten voorkomen dat de gegevens worden gebruikt voor het nemen van maatregelen of besluiten die tegen een bepaald persoon gericht zijn. In hoofdstuk II worden de waarborgen bepaald die bij de artikelen 4, § 1, 2° en 5° van de wet zijn vereist. Afdeling I. - Algemene beginselen Artikel 2 Hoofdstuk II is van toepassing op verwerkingen van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden die later voor historische, statistische of wetenschappelijke doeleinden worden verwerkt. In artikel 2 worden twee onderscheiden begrippen aangewend, te weten `historische, statistische of wetenschappelijke doeleinden' en `latere verwerking'. Het begrip historische, statistische of wetenschappelijke doeleinden In verband met het begrip « historische, statistische of wetenschappelijke doeleinden » onderstreept de Commissie voor de bescherming van de persoonlijke levenssfeer in haar advies 25/99 « dat de notie historische, statistische of wetenschappelijke doeleinden in geval van onduidelijkheid zal moeten worden geïnterpreteerd in het licht van de betekenis die deze begrippen hebben in de vermelde richtlijn. » Noch de tekst, noch de consideransen van richtlijn 95/46/EG bevatten evenwel een definitie van die begrippen. In de wet worden zij evenmin omschreven. In aanbeveling nr. R(97) 18 van 30 september 1997 van het Comité van Ministers van de Raad van Europa aan de Lidstaten betreffende de bescherming van persoonsgegevens verzameld en verwerkt voor statistische doeleinden wordt verwerking voor statistische doeleinden daarentegen omschreven als elke handeling met het oog op de verzameling en verwerking van persoonsgegevens die noodzakelijk is voor statistische enquêtes of om een statistisch resultaat over te leggen. De uitdrukking « statistisch resultaat » heeft betrekking op informatie verkregen door verwerking van persoonsgegevens om een collectief verschijnsel bij een bepaalde bevolkingsgroep te omschrijven. In punt 2 van de memorie van toelichting bij aanbeveling R 97 (18) wordt gesteld dat statistiek ertoe strekt massaverschijnselen te analyseren. Dankzij een verdichtingsproces kan een algemene stelling worden afgeleid uit een reeks systematische individuele waarnemingen. De resultaten van dat proces worden meestal voorgesteld in de vorm van cijfers betreffende het verschijnsel of de beschouwde bevolkingsgroep. Hoewel de statistiek op individuele waarnemingen berust, is zij niet erop gericht kennis over individuen te verkrijgen, maar samenvattende en representatieve gegevens van de toestand van een bevolkingsgroep of van een massaverschijnsel. In tegenstelling tot andere activiteiten strekken statistische werkzaamheden niet ertoe geïndividualiseerde beslissingen of maatregelen te nemen maar veeleer kennis te verwerven over grote gehelen zoals economische cycli, de leefomstandigheden van een groep binnen de maatschappij of de structuur van een markt, alsmede een analyse te maken van verschijnselen zoals epidemieën, tendensen bij de publieke opinie, de vruchtbaarheid of het consumptiegedrag van de gezinnen, en derhalve te komen tot oordelen of beslissingen met een collectieve draagwijdte. Zoals gesteld in de memorie van toelichting bij aanbeveling R 97 (18) (punt 11) hebben verwerkingen voor statistische doeleinden over het algemeen de volgende doelstellingen : - algemene informatieverstrekking : de statistische kennis wordt ter beschikking van het publiek gesteld zonder een voorbarig oordeel te vellen omtrent het nut of het belang dat zij voor de verschillende personen hebben; - hulp bij planning en besluitvorming : aan een openbare of private beslissingsinstantie informatie verstrekken over haar omgeving of werkingssfeer aan de hand waarvan zij een strategie kan uitwerken of een beslissing optimaliseren. Tevens is het de bedoeling aan die instantie of aan een derde de mogelijkheid te bieden de doeltreffendheid van de getroffen beslissing te beoordelen; - de wetenschap dienen : aan onderzoekers informatie verstrekken die bijdraagt tot het begrip van verschijnselen in de meest verscheiden domeinen zoals epidemiologie, psychologie, economie, sociologie, linguïstiek, politicologie, ecologie. Zoals onderstreept in de memorie van toelichting bij aanbeveling R 97 (18) (punt 11) zou kunnen worden geconcludeerd dat verwerkingen met statistische doeleinden geen gegevens zijn die moeten worden beschermd.Een dergelijke conclusie is echter overhaast en houdt geen rekening met het wordings- en verspreidingsproces van de statistische informatie, die grotendeels gegrond is op de mogelijkheid persoonsgegevens te verkrijgen en te verwerken. Het risico dat de betrokken gegevens worden gebruikt voor een ander doel dan dat waarvoor zij werden verzameld en voor persoonlijke doeleinden worden aangewend kan derhalve niet worden uitgesloten. Zulks zou het geval kunnen zijn wanneer de statistiek wordt aangewend bij overheid en politie, waar de verleiding kan bestaan om voor statistische doeleinden verzamelde gegevens aan te wenden in het kader van vonnissen en beslissingen ten aanzien van een bepaald persoon. Overigens is het mogelijk dat statistische resultaten niettegenstaande hun anoniem en compact karakter worden geanalyseerd of gecombineerd zodat de personen op wie de basisgegevens betrekking hebben, kunnen worden geïdentificeerd. Ten slotte kan niet worden ontkend dat soms aanzienlijke handelsbelangen op het spel staan en dat persoonsgegevens verzameld voor statistische doeleinden eenvoudigweg worden beschouwd als handelswaar en de bescherming van de persoonlijke levenssfeer wordt verwaarloosd. In de memorie van toelichting bij aanbeveling R 97 (18) (punt 14) wordt gesteld dat wetenschappelijk onderzoek ertoe strekt wetmatigheden, gedragsregels en oorzakelijke verbanden vast te stellen die alle personen op wie zij betrekking hebben, overstijgen. Aldus is het erop gericht globale verschijnselen te omschrijven. In dit kader wordt onder wetenschappelijk onderzoek eveneens bevolkingsonderzoek verricht met het oog op de bescherming en bevordering van de volksgezondheid begrepen. De term « historisch » is niet omschreven door de aanbeveling van de Raad van Europa, noch in een internationale tekst. De term verwijst naar verwerkingen van persoonsgegevens met het oog op de analyse van een vroegere gebeurtenis of om die analyse mogelijk te maken. Een verwerking met historische doeleinden kan een verwerking met wetenschappelijke doeleinden zijn maar ook een verwerking die niet aan de wetenschappelijke criteria voldoet. Een genealoog kan dus een beroep doen op de bij wet toegestane afwijkingen. De loutere archivering door de verantwoordelijke voor de verwerking van zijn eigen bestanden wordt evenwel niet beschouwd als bewaring met historische doeleinden en behoort derhalve niet tot het toepassingsgebied van hoofdstuk II. Het risico op bovenvermeld oneigenlijk gebruik van verwerkingen met statistische doeleinden geldt eveneens voor verwerkingen met wetenschappelijke en historische doeleinden. Het begrip latere verwerking Naast het begrip « historische, statistische of wetenschappelijke doeleinden » wordt in artikel 2 ook het begrip « latere verwerking » gebruikt. Het begrip is ontleend aan artikel 4, § 1, 2°, van de wet en aan artikel 6.1.B van richtlijn 95/46/EG. Daarin wordt evenwel niet omschreven wat een latere verwerking is. Dit begrip heeft betrekking op het geval waarin de verantwoordelijke voor de verwerking, die persoonsgegevens verwerkt in het kader van zijn of haar normale en legitieme werkzaamheden, die gegevens zelf wenst te hergebruiken of ze aan een ontvanger mede te delen met het oog op historisch, statistisch of wetenschappelijk onderzoek. In de memorie van toelichting bij aanbeveling R 97 (18) (punt 15) wordt immers gesteld dat in de statistiek twee grote types van verzamelen bestaan, het primaire en het secundaire. Primair verzamelen geschiedt rechtstreeks bij de personen met behulp van vragenlijsten in gedrukte of digitale vorm of van telefonische vraaggesprekken. Secundair verzamelen geschiedt bij openbare of private instanties die beschikken over reeds uitgewerkte documenten of bestanden die kunnen worden gebruikt om statistieken op te maken. In artikel 5.4 van aanbeveling 97 (18) wordt secundair verzamelen omschreven als de verwerking of de kennisgeving met statistische doeleinden van persoonsgegevens verzameld voor andere dan statistische doeleinden. Secundair verzamelen kan geschieden op grond van de verwerking van gegevens in het bezit van een derde maar kan eveneens plaatsvinden op grond van verwerkingen van gegevens voor andere dan statistische doeleinden beheerd door de verantwoordelijke voor de verwerking voor statistische doeleinden. Secundair verzamelen is een wijdverspreide praktijk in het kader van de administratie van vennootschappen en ondernemingen, bijvoorbeeld statistieken met het oog op personeelsbeheer, beheer van productiviteitspremies, alsook voor hun handelsbetrekkingen, bijvoorbeeld statistieken betreffende het koopgedrag van hun klanten. Het begrip latere verwerking heeft ook betrekking op het begrip secundair verzamelen. Het toepassingsgebied van hoofdstuk II omvat daarentegen niet het primair verzamelen van gegevens, te weten gegevensverwerkingen die in eerste instantie voor historische, statistische of wetenschappelijke doeleinden hebben plaatsgevonden, maar alleen secundair verzamelen, te weten latere verwerkingen. In advies 8/99 van de Commissie voor de bescherming van de persoonlijke levenssfeer wordt overigens beklemtoond dat hoofdstuk II ook niet van toepassing is op een verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die past in het kader van of verenigbaar is met doeleinden waarvoor de verwerkte persoonsgegevens zijn verkregen. In advies 8/99 van de Commissie voor de bescherming van de persoonlijke levenssfeer wordt evenwel geen definitie van verenigbaar doeleinde gegeven. In artikel 4, § 1, van de wet bevat een definitie a contrario van dat begrip aangezien wordt bepaald dat persoonsgegevens niet mogen worden verwerkt voor een daarmee niet verenigbaar doeleinde, zulks rekening houdend met alle relevante factoren, onder meer met de redelijke verwachtingen van de betrokken persoon en met de geldende wets- en verordeningsbepalingen. Een verenigbaar doeleinde is dus een doeleinde dat de betrokken persoon kan voorzien of dat op grond van een wetsbepaling als verenigbaar wordt beschouwd. Er bestaan dus drie gevallen waarin verwerkingen voor historische, statistische of wetenschappelijke doeleinden plaatsvinden : - ofwel worden de persoonsgegevens oorspronkelijk voor historische, statistische of wetenschappelijke doeleinden verzameld. In dat geval gaat het niet om een latere verwerking en is hoofdstuk II van dit besluit niet van toepassing; verwerkingen van die gegevens zijn onderworpen aan de gewone regeling betreffende verwerkingen van persoonsgegevens; - ofwel worden de persoonsgegevens oorspronkelijk verzameld voor een doeleinde dat niet van historische, statistische of wetenschappelijke aard is en later hergebruikt voor XX historische, statistische of wetenschappelijke doeleinden die op zich verenigbaar zijn met die oorspronkelijke doeleinden. In dat geval is hoofdstuk II niet van toepassing; - ofwel worden de persoonsgegevens oorspronkelijk verzameld voor een doeleinde dat niet van historische, statistische of wetenschappelijke aard is en later hergebruikt voor historische, statistische of wetenschappelijke doeleinden die alleen met de oorspronkelijke doeleinden verenigbaar zijn indien de voorwaarden gesteld in hoofdstuk II in acht worden genomen. Wanneer persoonsgegevens oorspronkelijk worden verzameld voor historische, statistische of wetenschappelijke doeleinden of hergebruik van die gegevens met dat doel niet onverenigbaar is met het oorspronkelijk doeleinde, is ongeacht of al dan niet voldoende waarborgen voorhanden zijn, de gewone regeling voor verwerkingen van persoonsgegevens van toepassing, te weten : - de persoonsgegevens moeten eerlijk en rechtmatig worden verwerkt (art. 4 van de wet); - de opzoeking moet geschieden met instemming van de betrokken persoon of is noodzakelijk voor de vervulling van een taak van openbaar belang; zoniet moet het belang van de onderzoeker ten opzichte van de fundamentele rechten en vrijheden worden beoordeeld (art. 5 van de wet); - ingeval het onderzoek betrekking heeft op gevoelige gegevens, moet het gegrond zijn op een belangrijk openbaar belang (art. 8 van de wet); - indien de gegevens nodig voor het onderzoek bij de betrokken persoon zelf worden verzameld, moet hem behoorlijk informatie worden verstrekt, onder meer over de identiteit van de verantwoordelijke, het doel van het onderzoek, de termijn van bewaring en de bestemming van de gegevens, en moet hem worden meegedeeld dat hij recht heeft op mededeling van de gegevens (art. 9, § 1 van de wet); - de gegevens moeten aan de betrokkene op verzoek in begrijpelijke vorm worden meegedeeld (art. 10 van de wet); - de betrokken persoon heeft een recht op verbetering en wanneer hij een grondige reden aanvoert, het recht zich tegen de verwerking te verzetten (art. 11 van de wet); - indien de betrokken persoon aantoont dat hij wegens een verwerking van persoonsgegevens die hem betreffen, schade heeft geleden omdat de wet niet is nageleefd, is de verantwoordelijke voor de verwerking aansprakelijk tenzij hij kan bewijzen dat het feit dat de schade heeft veroorzaakt, hem niet kan worden toegerekend (art. 15bis van de wet : omkering van de bewijslast); - indien de verantwoordelijke voor de verwerking een beroep doet op een verwerker, moet een schriftelijk contract worden gesloten dat voldoende waarborgen biedt (art. 16, § 1 van de wet); - de verantwoordelijke voor de verwerking moet de toegang tot de gegevens afschermen, voorzien in gedifferentieerde machtigingniveaus voor de personen die onder zijn gezag werken en deze personen voldoende informeren over de regels die nageleefd moeten worden met het oog op de bescherming van de persoonlijke levenssfeer van de betrokkenen (art. 16, § 2 van de wet); - de verantwoordelijke voor de verwerking moet zorgen voor een adequate beveiliging van de gegevens, zulks rekening houdend met de aard van de gegevens, de mogelijke risico's en de stand van de techniek op het vlak van de informatiebeveiliging (art. 16, § 4 van de wet); - de verantwoordelijke voor de verwerking van persoonsgegevens voor wetenschappelijke doeleinden moet daarvan aangifte doen bij de Commissie voor de bescherming van de persoonlijke levenssfeer (art. 17 van de wet); - persoonsgegevens mogen niet worden uitgevoerd naar landen buiten de Europese Unie indien deze landen geen passend niveau van bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens bieden (art. 21 van de wet). Artikel 3 Het koninklijk besluit voorziet in een regeling met drie gradaties voor de verwerking van respectievelijk anonieme, gecodeerde en niet-gecodeerde persoonsgegevens. Krachtens het grondbeginsel moeten onderzoekers met anonieme gegevens werken. Op die manier beoogt het koninklijk besluit conformiteit met voornoemde aanbeveling R 97 (18). In artikel 8 van de aanbeveling is immers bepaald dat persoonsgegevens verzameld voor statistische doeleinden anoniem moeten zijn zodra het verzamelen, controleren en koppelen beëindigd is. Anonieme gegevens zijn per definitie geen persoonsgegevens en de verwerking ervan vereist geen specifieke waarborg. Artikel 4 Het is niet altijd mogelijk met anonieme gegevens te werken, inzonderheid in de volgende gevallen : - het onderzoek vereist een koppeling van gegevens betreffende dezelfde persoon doch uit verschillende bestanden (record linkage); - in het onderzoek worden uitspraken van dezelfde persoon doch op verschillende tijdstippen met elkaar vergeleken (panel); - gegevens over dezelfde persoon worden gedurende een bepaalde periode op verschillende tijdstippen onderzocht (longitudinal research); - de klemtoon van het onderzoek ligt op specifieke, geïdentificeerde personen; hetgeen vooral voorkomt bij historisch onderzoek. Wanneer het onmogelijk blijkt het onderzoek met anonieme gegevens voort te zetten, moet de onderzoeker nagaan of het mogelijk is zulks met behulp van gecodeerde gegevens te doen. In dat geval is in afdeling 2 van dit hoofdstuk bepaald dat gegevens worden gecodeerd vooraleer zij aan de onderzoeker worden meegedeeld. De procedure waarin het koninklijk besluit voorziet, beoogt conformiteit met voornoemde aanbeveling R 97 (18). In artikel 8 van de aanbeveling is immers bepaald dat persoonsgegevens verzameld voor statistische doeleinden anoniem moeten zijn zodra het verzamelen, controleren en koppelen beëindigd is, tenzij identificatiegegevens noodzakelijk blijven voor statistische doeleinden en de in beginsel 10.1. bedoelde maatregelen getroffen zijn. In artikel 10.1 van de aanbeveling is bepaald dat identificatiegegevens die voor statistische doeleinden worden verzameld en verwerkt, moeten worden gescheiden en afzonderlijk van de andere persoonsgegevens bewaard. Artikel 5 Indien het onmogelijk blijkt het onderzoek met gecodeerde persoonsgegevens voort te zetten, kan de onderzoeker niet-gecodeerde persoonsgegevens aanwenden. In dat geval voorziet afdeling 3 van dit hoofdstuk in striktere waarborgen. Zoals de Commissie voor de bescherming van de persoonlijke levenssfeer in haar adviezen 8/99 en 25/99 stelt, moet de verantwoordelijke voor de verwerking van gegevens voor dergelijke doeleinden aan de bevoegde instanties het bewijs ervan leveren dat hij de doeleinden onmogelijk kan verwezenlijken aan de hand van de verwerking van anonieme en/of gecodeerde gegevens. Overeenkomstig de adviezen van de Commissie is in de artikelen 4 en 5 van het koninklijk besluit bepaald dat de verantwoordelijke voor de verwerking van persoonsgegevens voor historische, statistische of Krachtens artikel 17, § 3, van de wet moet een verantwoordelijke voor de latere verwerking van gegevens voor historische, statistische of wetenschappelijke doeleinden bovendien aangifte doen van het doel van de verwerking, te weten het doel van het onderzoek, alsook van de oorsprong van de gegevens, te weten de identiteit van de verantwoordelijke voor de oorspronkelijke verwerking of van de intermediaire organisatie die de gegevens heeft meegedeeld. Het is niet de bedoeling dat van elk onderzoeksproject aangifte wordt gedaan. De aangifte moet hoofdzakelijk betrekking hebben op een geheel van soortgelijke projecten. Aldus is de aangifte niet strijdig met een mogelijke noodzaak tot discretie betreffende concrete onderzoeksplannen. Artikel 6 Onderzoekers mogen vanzelfsprekend niet pogen de anonimiteit van de gegevens op te heffen. Op voorstel van de Commissie voorziet hetzelfde artikel ook in een verbod om gecodeerde persoonsgegevens om te zetten in niet-gecodeerde persoonsgegevens. De onderzoeker mag niets ondernemen om te proberen de code te « ontcijferen », hetgeen krachtens artikel 39 van de wet strafbaar wordt gesteld. Krachtens artikel 39 van de wet wordt de verantwoordelijke voor de verwerking die gegevens verwerkt met overtreding van artikel 4, § 1 van de wet immers gestraft. Deze maatregel geldt voor het bepaalde in dit besluit ter uitvoering van artikel 4, § 1. Afdeling II. - Verwerking van gecodeerde persoonsgegevens In artikel 7 wordt bepaald volgens welk algemeen beginsel de gegevens moeten worden gecodeerd alvorens later voor historische, statistische of wetenschappelijke doeleinden te worden verwerkt. Voorts voorziet afdeling 2 in drie gevallen : - ofwel wenst de verantwoordelijke voor de verwerking van persoonsgegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze gegevens zelf later te hergebruiken voor historische, statistische of wetenschappelijke doeleinden; - ofwel deelt de verantwoordelijke voor de verwerking van gegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden gegevens mee aan een derde die deze gegevens later verwerkt voor historische, statistische of wetenschappelijke doeleinden; - ofwel delen verscheidene verantwoordelijken voor verwerkingen van gegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze gegevens mee aan een of meer derden die ze later verwerken voor historische, statistische of wetenschappelijke doeleinden; Deze drie gevallen brengen andere problemen mee op het stuk van de gegevensbescherming en vereisen derhalve andere regelingen, die respectievelijk in de artikelen 8, 9 en 10 zijn bepaald. Artikel 7 Indien een onderzoeker aantoont dat het onderzoek onmogelijk aan de hand van anonieme gegevens kan worden verricht, mag hij met gecodeerde gegevens werken. Zoals gedefinieerd in artikel 1 3°, bestaat de codering erin dat de persoonsgegevens ontdaan worden van alle elementen die de mogelijkheid bieden de betrokkene te identificeren. In de plaats van die elementen komt een code. De relatie tussen de code en de identificatie van de betrokkene, met andere woorden de « sleutel », wordt niet meegedeeld aan de ontvanger van de persoonsgegevens. De codering van de gegevens moet ertoe leiden dat de ontvanger de betrokken persoon redelijkerwijs niet kan identificeren aan de hand van de meegedeelde persoonsgegevens. De gegevens moeten worden gecodeerd alvorens voor historische, statistische of wetenschappelijke doeleinden te worden verwerkt. De Raad van State heeft in zijn advies 30.495/2 van 8 november 2000, blz. 57 de volgende lezing voor artikel 7 voorgesteld : « Niet-gecodeerde persoonsgegevens worden, voor elke latere verwerking voor historische, statistische of wetenschappelijke doeleinden, gecodeerd opdat ze alleen door middel van een code met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht ». De huidige lezing stemt niet overeen met het voorstel van de Raad van State. Aangezien in artikel 1, 3° de gecodeerde persoonsgegevens worden omschreven als « persoonsgegevens die slechts door middel van een code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon », is het overbodig dat begrip in artikel 7 opnieuw te omschrijven. Artikel 8 Artikel 8 heeft betrekking op het geval waarin de verantwoordelijke voor de verwerking gegevens verzamelt voor zijn gewone activiteiten en ze opnieuw wenst te gebruiken voor historische, statistische of wetenschappelijke doeleinden of die verwerking later aan een verwerker wenst toe te vertrouwen. De Commissie stelt in haar advies 8/99 (blz. 3) de vraag « of ook geen passende waarborgen moeten worden vastgelegd op grond waarvan een verantwoordelijke voor een verwerking van een aantal principes kan afwijken indien hij persoonsgegevens waarover hij beschikt voor historische, statistische of wetenschappelijke doeleinden wenst te verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor de betrokken persoonsgegevens zijn verzameld. » De Commissie voor de bescherming van de persoonlijke levenssfeer geeft evenwel geen aanwijzing betreffende mogelijke passende waarborgen. Op grond van het koninklijk besluit moet de verantwoordelijke voor de verwerking, de verwerker of de intermediaire organisatie de gegevens coderen. Het eerste geval waarin de verantwoordelijke voor de verwerking van gegevens verzameld voor andere dan historische, statistische of wetenschappelijke doeleinden de gegevens zelf codeert, heeft bij voorbeeld betrekking op een overheidsdienst die persoonsgegevens aan een studiedienst bezorgt met het oog op een verwerking voor wetenschappelijke doeleinden of op een academisch ziekenhuis dat persoonsgegevens aan de onderzoekers van de faculteit geneeskunde van dezelfde universiteit bezorgt. In dit geval moet het ziekenhuis niet noodzakelijk een beroep doen op een externe intermediaire organisatie. De codering van persoonsgegevens en het beheer van identificatieslutels kan door het ziekenhuis zelf worden verricht. Niettemin moet de verantwoordelijke voor de verwerking op grond van artikel 12 technische en organisatorische maatregelen nemen om te voorkomen dat de onderzoekers toegang krijgen tot de sleutel van de code. Het tweede geval heeft betrekking op het geval waarin de verantwoordelijke voor de verwerking de latere verwerking voor historische, statistische of wetenschappelijke doeleinden toevertrouwt aan een verwerker, bij voorbeeld wanneer een handelsvennootschap een statistisch onderzoek aan de hand van klantenbestanden toevertrouwt aan een gespecialiseerde onderneming. In dit geval codeert de verwerker de gegevens alvorens ze voor historische, statistische of wetenschappelijke doeleinden te verwerken. Indien de verwerker eigen of elders verzamelde bestanden bij het hem toevertrouwde klantenbestand voegt om een meer gericht statistisch resultaat te kunnen bereiken of om enige andere reden, wordt hij niet langer beschouwd als een verwerker maar als de verantwoordelijke voor een nieuwe verwerking. Een derde mogelijkheid is het geval waarin de verantwoordelijke voor de verwerking de codering van gegevens aan een intermediaire organisatie toevertrouwt om deze gegevens later opnieuw zelf voor historische, statistische of wetenschappelijke doeleinden te kunnen gebruiken. In dit geval treedt de intermediaire organisatie op als verwerker. De Commissie voor de bescherming van de persoonlijke levenssfeer is in haar advies 8/99 (blz. 2) immers van oordeel dat wanneer een intermediaire organisatie slechts de gegevens van een enkele gegevensverstrekker codeert, te weten de verantwoordelijke voor de verwerking van gegevens verzameld voor een bepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde, zij het best steeds zou optreden als verwerker van persoonsgegevens voor rekening van de gegevensverstrekker zodat zij niet als afzonderlijke verantwoordelijke voor een verwerking van persoonsgegevens wordt beschouwd en onderworpen wordt aan het toezicht van de gegevensverstrekker overeenkomstig artikel 16 van de wet. In dit geval wordt op grond van artikel 16 van de wet een overeenkomst gesloten tussen de verantwoordelijke voor de verwerking en de verwerker. In deze overeenkomst wordt bepaald dat de verwerker alleen handelt in opdracht van de verantwoordelijke voor de verwerking. De intermediaire organisatie moet voldoende waarborgen bieden met betrekking tot de maatregelen inzake technische beveiliging en organisatie, en de verantwoordelijke voor de verwerking aangewezen door deze intermediaire organisatie moet erop toezien dat zij worden nageleefd. Artikel 9 Artikel 9 heeft betrekking op het geval waarin de verantwoordelijke voor de verwerking van gegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze gegevens aan een derde bezorgt die ze later voor historische, statistische of wetenschappelijke doeleinden verwerkt. Op grond van het voorontwerp van koninklijk besluit moet de verantwoordelijke van de verwerking of de intermediaire organisatie de gegevens coderen. Om dezelfde redenen als vermeld in het vorige artikel treedt die organisatie op als verwerker. Artikel 10 Artikel 10 betreft het geval waarin verschillende verantwoordelijken voor de verwerking van gegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden deze gegevens aan een of meer derden meedelen, die ze voor historische, statistische of wetenschappelijke doeleinden verwerken. De Commissie voor de bescherming van de persoonlijke levenssfeer is in haar adviezen 8/99. (blz. 3) en 25/99 (blz. 2) van oordeel dat de gegevensbescherming bijzonder in het gedrang komt aangezien persoonsgegevens van verschillende gegevensverstrekkers worden samengevoegd alvorens te worden gecodeerd. De Commissie meent dan ook in haar adviezen 8/99 (blz. 3) en 25/99 (blz. 2) dat « dergelijke intermediaire organisaties passende waarborgen moeten bieden en dat het wenselijk is dat zij worden gemachtigd die taak door of krachtens de wet te vervullen. » Zij onderstreept bovendien in haar advies 25/99 dat de intermediaire organisatie zodoende een eigen verantwoordelijkheid heeft en dus niet kan worden beschouwd als een verwerker die optreedt voor rekening van de onderscheiden gegevensverstrekkers. Vervolgens oordeelt de Commissie ook in haar adviezen 8/99 (blz. 7) en 25/99 (blz. 5) dat aangezien haar voorstel is aanvaard om intermediaire organisaties die gegevens van verscheidene gegevensverstrekkers verzamelen of coderen, te beschouwen als een afzonderlijke verantwoordelijke voor de verwerking, de vrijstelling van de verplichting tot kennisgeving moet worden uitgebreid tot intermediaire organisaties die persoonsgegevens alleen verwerken met het doel ze te coderen. Zoniet is het gevaar groot dat weinig instanties bereid worden gevonden als intermediaire organisatie op te treden. Op grond van het koninklijk besluit wordt de intermediaire organisatie die gegevens van verschillende verantwoordelijken voor de verwerking codeert als de verantwoordelijke voor een nieuwe verwerking beschouwd, die de algemene verplichtingen van de verantwoordelijke voor de verwerking moet nakomen, waarbij hij onder meer - moet nagaan of de verwerkte gegevens relevant zijn; - aan de betrokken persoon kennis moet geven; - aangifte moet doen van de verwerking bij de Commissie voor de persoonlijke levenssfeer, waarbij onder meer opgave moet worden gedaan van de categorie van verwerkte gegevens, van de categorie van ontvangers aan wie zij worden verstrekt, van de waarborgen bij mededeling aan derden, alsook een beschrijving moet worden gegeven van de veiligheidsmaatregelen, te weten de wijze waarop de gegevens worden gecodeerd en de technische en organisatorische maatregelen genomen om te voorkomen dat de verantwoordelijke voor de verwerking voor historische, statistische of wetenschappelijke doeleinden toegang krijgt tot de sleutel van de code. Met betrekking tot het voorstel van de Commissie om de intermediaire organisaties vrij te stellen van de verplichting tot kennisgeving volgt het voorontwerp van koninklijk besluit richtlijn 95/46/EG : krachtens artikel 11.2 ervan geldt voornoemde vrijstelling alleen wanneer de kennisgeving onmogelijk is, onevenredig veel moeite kost of wanneer de wet uitdrukkelijk in de mededeling of de registratie van de gegevens voorziet. Dat probleem wordt geregeld in de artikelen 15, 20 en 29 van dit besluit. Het voorstel van de Commissie om de intermediaire organisaties bij of krachtens de wet te machtigen wordt in het voorontwerp van koninklijk besluit daarentegen niet overgenomen : zulks zou tot gevolg hebben dat de rol van intermediaire organisatie alleen kan worden gespeeld door openbare of semi-openbare organisaties en alle private ondernemingen worden uitgesloten. De term verwerking voor statistische of wetenschappelijke doeleinden heeft evenwel ook betrekking op statistische verwerkingen die ondernemingen verrichten aan de hand van hun eigen verwerkingen (verwerkingen inzake klanten, goederen, personele middelen, . - zie in dit verband blz. 15 e.v. van deze memorie). Artikel 11 De intermediaire organisatie moet onafhankelijk zijn van de verantwoordelijke van de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden. Deze onafhankelijkheid moet aan de intermediaire organisatie in ieder geval de mogelijkheid bieden te weigeren de sleutel van de code mee te delen aan de ontvanger van de gegevens. Artikel 12 De Commissie voor de bescherming van de persoonlijke levenssfeer acht het in haar advies 8/99 (blz. 4) wenselijk dat de gegevensverstrekker of de intermediaire organisatie worden verplicht te voorzien in een bijzondere beveiliging van de sleutels voor de omzetting van gecodeerde naar identificerende gegevens. Deze beveiliging is immers cruciaal om te voorkomen dat de gecodeerde gegevens niet opnieuw in niet-gecodeerde persoonsgegevens worden omgezet. Artikel 12 komt aan deze opmerking tegemoet. Technische maatregelen moeten onder andere ertoe leiden dat de code de personen op wie de persoonsgegevens betrekking hebben, kenbaar kan maken. De toegang bij voorbeeld tot een conversietabel waardoor gecodeerde persoonsgegevens in niet gecodeerde persoonsgegevens kunnen worden omgezet, moet op passende wijze worden beveiligd. Met « gegevensverstrekker » bedoelt de Commissie echter blijkbaar alleen de gevallen waarin de verantwoordelijke voor de verwerking de gegevens aan een derde meedeelt met het oog op een latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden. Krachtens artikel 12 moet de verantwoordelijke voor de verwerking van gegevens voor andere dan statistische doeleinden ook waarborgen bieden wanneer hij gegevens codeert teneinde ze zelf te hergebruiken voor historische, statistische of wetenschappelijke doeleinden. Hij moet maatregelen nemen opdat de personen die de gegevens later voor historische, statistische of wetenschappelijke doeleinden verwerken, geen toegang krijgen tot de sleutel van de code. De onderzoeksinstelling moet de personeelsleden die de gegevens verzamelen scheiden van de medewerkers die aan de hand van die gegevens een onderzoek verrichten. Er moet aan worden herinnerd dat de verantwoordelijke voor de verwerking, alsook zijn aangestelde of gemachtigde die persoonsgegevens verwerkt met overtreding van de voorwaarden gesteld in artikel 4, § 1, krachtens artikel 39 van de wet wordt gestraft met een geldboete. Artikel 13 De verantwoordelijke voor de verwerking van gegevens en de intermediaire organisatie kunnen gegevens slechts meedelen met het oog op de latere verwerking ervan voor historische, statistische of wetenschappelijke doeleinden indien de verantwoordelijke voor de latere verwerking voor historische, statistische of wetenschappelijke doeleinden het ontvangbewijs overlegt dat de Commissie uitreikt binnen drie werkdagen te rekenen van de ontvangst van de aangifte van de verwerking overeenkomstig artikel 17, § 2, van de wet. Een onderzoeker die aan een intermediaire organisatie of aan een verantwoordelijke voor de verwerking van persoonsgegevens voor andere dan historische, statistische of wetenschappelijke doeleinden gecodeerde persoonsgegevens vraagt, moet bewijzen dat hij de aangifte heeft verricht. Zoniet mogen de gecodeerde persoonsgegevens niet worden meegedeeld. Deze regel geldt eveneens wanneer de verantwoordelijke voor de verwerking voor historische, statistische of wetenschappelijke doeleinden geen derde is ten aanzien van de verantwoordelijke voor de verwerking van gegevens verzameld voor oorspronkelijke doeleinden (bij voorbeeld wanneer een ziekenhuis aan zijn artsen gegevens betreffende de gezondheid meedeelt met het oog op een later wetenschappelijk onderzoek). Deze bepaling moet worden beschouwd samen met artikel 4 van dit besluit in, naar luid waarvan de verantwoordelijke voor de verwerking van gegevens voor historische, statistische of wetenschappelijke doeleinden in zijn aangifte moet vermelden waarom het onderzoek gecodeerde gegevens vereist. De Raad van State heeft in zijn advies 30.495/2 voorgesteld in de oorspronkelijke lezing van het artikel de woorden « uitgereikt door de Commissie op grond van artikel 17, § 2, van de wet » te vervangen door de woorden « een volledige afgifte, uitgereikt door de Commissie op grond van artikel 17, § 2, van de wet. » Bijgevolg is de lezing van het artikel gewijzigd. Artikel 14 Dit artikel strekt ertoe aanvullende waarborgen te bepalen voor gevoelige, gerechtelijke gegevens en gegevens betreffende de gezondheid, die later voor historische, statistische of wetenschappelijke doeleinden worden hergebruikt. Aanvankelijk voorzag het voorontwerp van koninklijk besluit erin dat dergelijke verwerkingen vooraf positief moesten worden beoordeeld door een ethisch comité ingericht door de Commissie voor de bescherming van de persoonlijke levenssfeer. De Commissie is in haar advies 8/99 echter van oordeel dat het noch haar taak, noch die van een door haar aangewezen ethische commissie is om met het oog van de bescherming van de persoonlijke levenssfeer een advies uit te brengen omtrent de historische, statistische of wetenschappelijke doeleinden van een verwerking. Zulks kan immers worden geïnterpreteerd als een mogelijkheid tot inhoudelijke censuur. De Commissie stelt derhalve voor dit artikel te schrappen. Indien de auteurs van het ontwerp van oordeel zijn dat ethische commissies een rol moeten vervullen met betrekking tot bepaalde vormen van historisch, statistisch of wetenschappelijk onderzoek, moet zulks afzonderlijk worden geregeld op grond van een maatschappelijk debat. Het koninklijk besluit voorziet als waarborg dan ook erin dat de verantwoordelijke voor de verwerking van gegevens verzameld voor bepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden of de intermediaire organisatie de betrokken persoon voor de codering van de gegevens in kennis moet stellen van de historische, statistische of wetenschappelijke doeleinden, van de oorsprong van de gegevens, alsook van zijn recht van toegang, verbetering en verzet. De betrokkene beschikt over een recht van verzet. In de kennisgeving aan de betrokken persoon wordt onder meer de oorsprong van de gegevens vermeld teneinde hem bewust ervan te maken dat de codeurs de gegevens koppelen. Ter herinnering, de verplichting tot kennisgeving …

🔗 Vers la source officielle

AI-uitleg op basis van de officiële wettekst. Indicatief, vervangt geen juridisch advies.