Bescherming van de privacy

Roadmap Data Protection Regulation

Het document bevat de 6 actiepunten waartoe beslist werd voor de sociale- en gezondheidssector. 
KSZ_roadmap_privacyverordening

Verwerking van persoonsgegevens

De instellingen van sociale zekerheid zijn verplicht om, zoals elke andere verantwoordelijke voor een verwerking, enkele algemene rechtmatigheidsvoorwaarden te eerbiedigen. Ze moeten er dus vooreerst voor zorgen dat ze persoonsgegevens uitsluitend verwerken op een eerlijke en rechtmatige wijze. De persoonsgegevens moeten voorts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen niet verder worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Verder moeten de persoonsgegevens toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt, moeten ze nauwkeurig zijn (en zo nodig worden bijgewerkt) en mogen ze, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk voor de verwezenlijking van de vermelde doeleinden. Instellingen van sociale zekerheid moeten er dus over waken dat ze voor de toepassing van de sociale zekerheid noch te veel noch te weinig persoonsgegevens verwerken, ze moeten de kwaliteit van deze persoonsgegevens in het oog houden en moeten ze verwijderen wanneer ze onbruikbaar worden. Bij het verlenen van zijn machtiging zal het sectoraal comité van de sociale zekerheid en van de gezondheid nagaan of de mededeling in kwestie wel degelijk de principes van finaliteit en proportionaliteit respecteert.

De tussenkomst van de KSZ bij het uitwisselen van persoonsgegevens

Het beginsel van de eenmalige inzameling van persoonsgegevens heeft tot gevolg dat de instellingen van sociale zekerheid – en bij uitbreiding alle instanties die tot het netwerk van de sociale zekerheid behoren – niet langer onverkort bij de sociaal verzekerde persoonsgegevens mogen opvragen. Ze moeten de noodzakelijke persoonsgegevens integendeel eerst binnen het netwerk van de sociale zekerheid gaan zoeken. De aanzienlijke vermindering van de administratieve rompslomp die voor de sociaal verzekerde uit het beginsel van de eenmalige inzameling van persoonsgegevens voortvloeit, gaat echter niet ten nadele van zijn persoonlijke levenssfeer. De wetgever heeft immers voorzien dat, op enkele uitzonderingen na, elke mededeling van persoonsgegevens door of aan een instantie behorend tot het netwerk van de sociale zekerheid met tussenkomst van de KSZ moet verlopen.

Bij de bescherming van de persoonlijke levenssfeer van de sociaal verzekerden is een belangrijke rol weggelegd voor de diverse verwijzingsrepertoria die binnen het netwerk van de sociale zekerheid worden bijgehouden. De KSZ beheert een verwijzingsrepertorium, waarin voor elke sociaal verzekerde wordt vermeld welk soort persoonsgegevens in het netwerk van de sociale zekerheid aanwezig zijn en aan wie zij mogen worden meegedeeld. Dat verwijzingsrepertorium functioneert als een filter, die ervoor moet zorgen dat enkel de toegelaten persoonsgegevens worden meegedeeld en dat deze enkel bij de correcte bestemmeling(en) terecht komen. Indien bij een concrete mededeling aan de hand van het verwijzingsrepertorium onregelmatigheden worden achterhaald, zal de KSZ de mededeling tegenhouden en de verzender daarvan verwittigen.

De instanties die deel uitmaken van het netwerk van de sociale zekerheid hebben de verplichting om vóór er van enige uitwisseling van persoonsgegevens sprake kan zijn aan de KSZ mee te delen over welke sociaal verzekerden zij een dossier beheren. Bij de elektronische uitwisseling van persoonsgegevens zal de KSZ nagaan of zowel de verzender als de bestemmeling van het elektronisch bericht wel degelijk een dossier aangaande de betrokkene beheren. Indien dat niet het geval blijkt, zal de KSZ het elektronisch bericht niet doorsturen en de verzender daarvan in kennis stellen. Zo kan worden vermeden dat persoonsgegevens worden overgemaakt aan een bestemmeling die ze in wezen niet nodig heeft voor het vervullen van zijn opdrachten, hetgeen een schending van het evenredigheidsbeginsel zou betekenen. De KSZ zal tevens onderzoeken of de bestemmeling wel (door het sectoraal comité van de sociale zekerheid en van de gezondheid) gemachtigd is om de persoonsgegevens in kwestie te bekomen en, indien nodig, de verdere verzending van het elektronisch bericht blokkeren.

Indien een elektronisch bericht bestemd is voor een meewerkende instelling van sociale zekerheid zal de KSZ het niet rechtstreeks aan eerstgenoemde overmaken. Voor de takken van de sociale zekerheid waarin meewerkende instellingen van sociale zekerheid actief zijn, bezit de KSZ immers enkel over een verwijzing tot op het niveau van de tak zelf. Het is de beheersinstelling van het betrokken secundair netwerk die als enige per sociaal verzekerde weet heeft van de bevoegde meewerkende instelling van sociale zekerheid en binnen dat secundair netwerk een gelijkaardige rol als KSZ zal vervullen. Dat betekent concreet dat de KSZ de door haar gecontroleerde elektronische berichten zal versturen naar de beheersinstelling van het secundair netwerk, die dan zelf – met behulp van een eigen verwijzingsrepertorium – zal instaan voor de correcte verspreiding naar de meewerkende instelling van sociale zekerheid die het dossier van de betrokken sociaal verzekerde beheert. Deze werkwijze biedt het voordeel dat het lidmaatschap van de meewerkende instelling van sociale zekerheid slechts binnen de eigen tak van de sociale zekerheid gekend is. De KSZ weet derhalve wel dat een sociaal verzekerde een dossier heeft bij één of meerdere meewerkende instellingen van sociale zekerheid maar kent niet de identiteit ervan. Dit is voornamelijk van belang voor het lidmaatschap van een vakbond (deze treedt veelal ook op als uitbetalingsinstelling voor werkloosheidsuitkeringen) of een ziekenfonds, dat door sociaal verzekerden als gevoelig kan worden ervaren.

Het sectoraal comité van de sociale zekerheid en van de gezondheid

Overeenkomstig de wet van 15 januari 1990 moet de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid in principe voor elke mededeling van persoonsgegevens door een instelling van sociale zekerheid een voorafgaande machtiging verlenen. Bij het beoordelen van een aanvraag tot machtiging zal het sectoraal comité van de sociale zekerheid en van de gezondheid bijzondere aandacht besteden aan de toetsing van de beginselen van doelmatigheid en evenredigheid. Het zal onderzoeken of de mededeling waarover het zich dient te buigen wel degelijk voldoet aan gerechtvaardigde doeleinden en of de mee te delen persoonsgegevens, uitgaande van die doeleinden, relevant en noodzakelijk zijn. In geval van een gunstige beslissing van het sectoraal comité van de sociale zekerheid en van de gezondheid over een bepaalde mededeling van persoonsgegevens zal de KSZ haar verwijzingsrepertorium aanpassen opdat de mededeling effectief plaats zou kunnen vinden.

De opdrachten van het sectoraal comité van de sociale zekerheid en van de gezondheid zijn echter ruimer dan het louter verlenen van machtigingen voor de mededeling van persoonsgegevens. Het is in de eerste plaats een toezichthoudend orgaan, dat moet nagaan of de reglementering met betrekking tot het netwerk van de sociale zekerheid worden nageleefd (vóór de wijziging van zijn statuut, bij de wet van 26 februari 2003, had het overigens de meer expliciete benaming “Toezichtscomité”). In die hoedanigheid kan het bruikbare aanbevelingen verschaffen. Het moet ook een advies verlenen met betrekking tot de aanduiding van bepaalde informatieveiligheidsconsulenten binnen het netwerk van de sociale zekerheid.

De informatieveiligheid binnen het netwerk van de sociale zekerheid

De instanties die tot het netwerk van de sociale zekerheid behoren, zijn ertoe gehouden een veiligheidscultuur te ontwikkelen en in het bijzonder aandacht te besteden aan de beveiliging van de persoonsgegevens die ze verwerken of uitwisselen. Een belangrijke taak is daarbij weggelegd voor de informatieveiligheidsconsulenten en de informatieveiligheidsdiensten.

De informatieveiligheidsconsulenten staan in voor de veiligheid van de persoonsgegevens die door hun opdrachtgever worden verwerkt of uitgewisseld en voor de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben.

De informatieveiligheidsdiensten worden geleid door de informatieveiligheidsconsulenten en hebben een ruime adviserende, stimulerende, documenterende en controlerende opdracht. Slechts mits toestemming van het sectoraal comité van de sociale zekerheid en van de gezondheid en onder strikte voorwaarden mag een instantie uit het netwerk van de sociale zekerheid van deze verplichting afzien en een beroep doen op een externe erkende gespecialiseerde informatieveiligheidsdienst.

Elke betrokken instelling van sociale zekerheid is ertoe gehouden om jaarlijks een vragenlijst met betrekking tot de naleving van de dwingende minimumnormen met betrekking tot de fysieke en logische informatieveiligheid minutieus in te vullen en aan de KSZ over te maken. De resultaten van de ondervraging van de betrokken instellingen van sociale zekerheid worden dan aan het sectoraal comité van de sociale zekerheid en van de gezondheid bezorgd, dat van de naleving van de minimumnormen een bijzonder aandachtspunt heeft gemaakt en de evoluties binnen elke instelling van sociale zekerheid nauwgezet opvolgt.

Andere specifieke maatregelen

De wet van 15 januari 1990 bevat voorts nog enige andere specifieke maatregelen, waarvan het merendeel ook later – zij het met andere termen en met een andere draagwijdte – in de wet van 8 december 1992 werd hernomen.

De verplichting tot het motiveren van hun bestuurshandelingen is in wezen een algemeen beginsel van behoorlijk bestuur, dat de instanties van het netwerk van de sociale zekerheid dwingt tot openheid tegenover de sociaal verzekerde. Hoewel het formuleren van een degelijke motivering vaak een evenwichtsoefening zal zijn, draagt deze verplichting er mede toe bij dat de sociaal verzekerde een duidelijker zicht krijgt op de persoonsgegevens die het netwerk van de sociale zekerheid over hem verwerkt en zo in de mogelijkheid wordt gesteld om zijn rechten met betrekking tot die persoonsgegevens uit te oefenen.

De wet van 8 december 1992 legt aan de verantwoordelijken voor een verwerking van persoonsgegevens de verplichting op om bij de verbetering of verwijdering van persoonsgegevens de betrokkene zelf daarvan te verwittigen evenals, in de mate van het mogelijke, alle personen aan wie deze persoonsgegevens inmiddels werden meegedeeld. Gelet op de specifieke taak van de KSZ voorziet de wet van 15 januari 1990 dat de instanties van het netwerk van de sociale zekerheid de door hen uitgevoerde verbeteringen of verwijderingen van persoonsgegevens enkel moeten meedelen aan de betrokkene zelf en aan de KSZ. Deze laatste zal er dan, door middel van haar verwijzingsrepertorium, voor zorgen dat de verbeteringen en verwijderingen ook worden meegedeeld aan alle instanties van het netwerk van de sociale zekerheid die de persoonsgegevens nodig hebben voor het vervullen van hun opdrachten en werden gemachtigd om ze te ontvangen.

Net zoals de wet van 8 december 1992 kent de wet van 15 januari 1990 een bijzondere regeling aangaande de verwerking van persoonsgegevens die de gezondheid betreffen. Een geheel van maatregelen heeft tot doel de toegang van onbevoegden tot persoonsgegevens die de gezondheid betreffen te vermijden.

De KSZ en de overige instanties die tot het netwerk van de sociale zekerheid behoren, moeten alle maatregelen treffen om een perfecte bewaring van de persoonsgegevens te verzekeren. Zij zijn ertoe gehouden om de gepaste technische en organisatorische maatregelen te treffen. Hierbij kan worden opgemerkt dat het principe van de gedecentraliseerde opslag van persoonsgegevens binnen het netwerk van de sociale zekerheid reeds ten dele hun kwaliteit waarborgt: vermits elke instelling van sociale zekerheid is aangeduid als beheerder van bepaalde persoonsgegevens, kan zij zelf, aan de bron, blijven instaan voor het actualiseren en corrigeren ervan.

Binnen het netwerk van de sociale zekerheid moeten de beginselen van doelmatigheid en evenredigheid worden gerespecteerd. De betrokken instanties (en hun personeelsleden) mogen enkel persoonsgegevens verwerken voor zover en zolang ze die nodig hebben voor de toepassing van de sociale zekerheid (voor de instellingen van sociale zekerheid) of voor doeleinden die daarmee zijn gelijkgesteld (voor de instanties die tot het netwerk van de sociale zekerheid zijn toegetreden) en moeten het vertrouwelijk karakter van deze persoonsgegevens beschermen.

Iedere persoon die betrokken is bij de inzameling, de verwerking of de mededeling van persoonsgegevens of kennis heeft van dergelijke gegevens is gebonden door het beroepsgeheim.

Ten slotte bevat de wet van 15 januari 1990 enkele bepalingen met betrekking tot het toezicht op de naleving ervan en enkele strafbepalingen.

Rechten van de sociaal verzekerde

De instellingen van sociale zekerheid zijn gehouden door een informatieplicht tegenover de sociaal verzekerden. Indien zij zelf persoonsgegevens inzamelen bij de sociaal verzekerden, moeten zij hen bepaalde inlichtingen verschaffen over de verwerking van persoonsgegevens (deze lijst van inlichtingen wordt bovendien uitgebreid indien er ook persoonsgegevens betreffende de gezondheid worden verwerkt. Voor zover de instellingen van sociale zekerheid zelf nog persoonsgegevens moeten opvragen bij de sociaal verzekerden zullen zij dat doorgaans doen aan de hand van standaardformulieren waarop de verplichte vermeldingen worden weergegeven. Indien de persoonsgegevens niet bij de sociaal verzekerde zelf zijn verkregen (hetgeen binnen het netwerk van de sociale zekerheid het uitgangspunt is geworden), geldt er in principe eveneens een informatieplicht, behalve in een aantal gevallen, onder meer “wanneer de registratie of de verstrekking van de persoonsgegevens verricht wordt met het oog op de toepassing van een bepaling voorgeschreven door of krachtens een wet, een decreet of een ordonnantie” (op grond van deze uitzonderingsbepaling zijn de onderscheiden instellingen van sociale zekerheid, die via het netwerk van de sociale zekerheid persoonsgegevens ontvangen met het oog op het vervullen van hun opdrachten, vrijgesteld van de verplichting om de betrokken sociaal verzekerden te informeren over de verwerking).

Aansluitend bij de informatieverplichting voor de instellingen van sociale zekerheid bevat de wet van 8 december 1992 voor de sociaal verzekerden een recht op informatie. Zij hebben namelijk het recht om zich tot elke instelling van sociale zekerheid te wenden en te vragen of deze laatste persoonsgegevens over hen verwerkt. De instellingen van sociale zekerheid zijn er dan toe gehouden om binnen de vijfenveertig dagen na ontvangst van het gedagtekend en ondertekend verzoek een aantal inlichtingen over te maken (onder andere, in een begrijpelijke vorm, de persoonsgegevens zelf). Voor persoonsgegevens die de gezondheid betreffen geldt een specifieke regeling: de sociaal verzekerde mag rechtstreeks kennis krijgen van de persoonsgegevens betreffende de gezondheid die over hem worden verwerkt maar zowel hijzelf als de instellingen van sociale zekerheid kunnen er voor kiezen om de mededeling te laten gebeuren met tussenkomst van een beroepsbeoefenaar van de gezondheidszorg, die door de betrokkene zelf wordt gekozen. Voorts verleent de wet van 8 december 1992 aan de sociaal verzekerden het recht om onjuiste persoonsgegevens kosteloos te doen verbeteren en om in bepaalde gevallen de verwijdering of het verbod op de aanwending van persoonsgegevens te vragen.