|
Commission de la Justice |
Commissie
voor Justitie |
|
du Mercredi 24 mars 2021 Après-midi ______ |
van Woensdag 24 maart 2021 Namiddag ______ |
De openbare commissievergadering wordt geopend om 13.07 uur en voorgezeten door mevrouw Kristien Van Vaerenbergh.
La réunion publique de commission est ouverte à 13 h 07 et présidée par Mme Kristien Van Vaerenbergh.
01 Projet "Putting Data at the center": échange de vues et questions jointes de
- Cécile Thibaut à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "La protection des données personnelles" (55015581C)
- François De Smet à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "Le projet "Putting data at the center"" (55015781C)
01 Project "Putting Data at the center": gedachtewisseling en toegevoegde vragen van
- Cécile Thibaut aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "De bescherming van de persoonsgegevens" (55015581C)
- François De Smet aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "Het project 'Putting data at the center'" (55015781C)
De voorzitster: Tijdens deze vergadering is de staatssecretaris, de heer Michel, vergezeld van de heer Smeets, directeur-generaal van de FOD Beleid & Ondersteuning.
Ter herinnering en voor de goede orde: tijdens een van onze laatste besloten vergaderingen over privacy hadden wij een juridisch advies gevraagd aan onze eigen diensten met betrekking tot de Gegevensbeschermingsautoriteit, en wij hebben, op vraag van de heer Geens, collegiaal beslist het rapport daarvan ter beschikking te houden tot ook het rapport van het Rekenhof beschikbaar is. Zo weten jullie dat het er al is, maar nog niet wordt verspreid.
Mijnheer de staatssecretaris, ik geef u het woord om dit rapport voor te stellen.
01.01 Mathieu Michel, secrétaire d'État: Madame la présidente, chers collègues, comme nous le savons tous depuis quelques mois déjà, les questions relatives aux données et à leur utilisation sont mises sur le devant de la scène. Pour ma part, je suis venu, à de nombreuses reprises, répondre en commission de la Justice à de nombreuses questions. Nous avons d'ailleurs déjà constaté à quel point les intervenants dans cette matière sont nombreux mais aussi qu'il apparaît parfois un certain nombre d'imprécisions.
Wij hebben allen een rol te spelen in de duidelijkheid en transparantie die nodig zijn voor een klimaat van vertrouwen, dat essentieel is voor de bescherming van onze persoonlijke gegevens. Het is belangrijk dat het Parlement zijn rol in deze zaak ten volle speelt.
Onze persoonlijke gegevens en het gebruik dat ervan wordt gemaakt, zijn nauw verbonden met onze individuele rechten en vrijheden, maar ook met het begrip zelf van de rechtstaat. In die zin behoren zij de burger toe. Het lijkt mij dan ook van fundamenteel belang dat het Parlement, het orgaan van de verkozen burgers, in het middelpunt van het debat staat.
Als staatssecretaris voor de bescherming van de persoonlijke levenssfeer is het mijn verantwoordelijkheid om, binnen de grenzen van mijn eigen bevoegdheden, alles in het werk te stellen om ervoor te zorgen dat de mechanismen die de bescherming van de persoonlijke gegevens en fundamentele vrijheden waarborgen, volledig operationeel en doeltreffend zijn.
Je l'ai dit dans ma déclaration de politique générale: l'évaluation de la loi Vie privée est au cœur de mon action et le travail est déjà en cours. Je mesure néanmoins qu'un certain nombre de questions nécessitent une attention imminente et ne peuvent souffrir un délai de traitement trop long. C'est singulièrement le cas avec le dossier qui nous réunit en ce jour: Putting Data at the center, un dossier évoqué dans les colonnes du journal Le Soir et qui identifiait un projet de profilage citoyen. Dès ma prise de connaissance de ce projet, je l'ai arrêté afin d'en prendre connaissance et de poser sereinement le débat. Suite aux questions posées par certains députés, j'ai émis la proposition que l'administration vienne présenter les éléments du projet devant vous. Voilà pourquoi j'ai proposé cette audition.
Entre-temps, d'autres éléments ont été portés à notre connaissance, comme la gestion des données de certains hôpitaux ou encore l'utilisation du logiciel Oasis. J'ai reçu des questions à ce sujet. Je pense que nous les parcourrons plus tard dans l'ordre du jour.
Toutes ces questions, et probablement celles que nous ne nous posons pas encore, doivent trouver réponse et recevoir des solutions définitives, dans un travail collectif que nous devons réaliser ensemble.
Ik ben ervan overtuigd dat vertrouwen de basis is voor vooruitgang. Dit vertrouwen vereist transparantie. Dus hier zijn wij dan.
Dan geef ik nu het woord aan de heer Ben Smeets voor de voorstelling.
01.02 Ben Smeets: Mevrouw de voorzitster, dames en heren volksvertegenwoordigers, ik dank u voor de kans om te reageren op het artikel dat de realiteit niet helemaal correct weergaf. FOD BOSA DG DT staat als dienstenintegrator in voor het beveiligd transport van gegevens in het kader van een gelegitimeerde vraag van een overheidsdienst en haalt de gegevens op bij de authentieke bron. In België is er een architectuur met gedecentraliseerde opslag van gegevens bij authentieke bronnen in plaats van een centrale opslag. Een catalogus van authentieke bronnen is in volle ontwikkeling en werd reeds gepubliceerd op onze website.
BOSA DG DT slaat zelf geen gegevens op en wij kruisen ook geen gegevens. Als federale dienstenintegrator bieden wij een vierhonderdtal diensten aan die bestaan uit herbruikbare bouwstenen die toegang geven tot overheidsdata en die overheidsdiensten in de eigen toepassingen kunnen inpluggen. Dat levert een grote vereenvoudiging en besparing op bij de realisatie van digitaliseringsprojecten en finaal een betere en transparantere dienstverlening.
Onze rol werd formeel uitgewerkt in de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator. Naast diverse aspecten van dienstenintegrator werd hierin ook het ontwikkelen van toepassingen die nuttig zijn voor de integratie van in gegevensbanken opgeslagen gegevens als onze opdracht bepaald. In 2019 hebben we de nodige gegevensbeschermingsimpactanalyses gedaan voor alle diensten die wij bij de dienstenintegrator aanbieden. Die zijn momenteel aan herziening toe in het kader van de federale information security policy.
Het project Putting Data at the center werd opgestart in 2018, met als doel het creëren van een gecentraliseerd zicht op alle beschikbare overheidsdata in de gedistribueerde architectuur van authentieke bronnen. Dat moet het voor gebruikers overzichtelijk maken welke data waar beschikbaar zijn. Het moet het ook mogelijk maken gegevens uit meerdere bronnen te combineren, op basis van de businessbehoeften en de uitvoering van de wettelijke opdrachten.
Heel kort door de bocht kan ik meegeven dat er technisch drie mogelijkheden zijn: ofwel haalt elke gebruiker zijn data op uit elke bron apart op het moment waarop hij ze nodig heeft; ofwel gaan wij naar een geaggregeerde service als webservice of app, wat nog vraagstukken oplevert op het vlak van performantie of kosten; ofwel onderzoeken wij de mogelijkheid van een 360-gradenview op een burger, een onderneming of een gebouw. Hoewel technisch verkieslijk, is dat vandaag binnen de huidige wettelijke kaders niet mogelijk.
Het project Putting Data at the center had als doel geïntegreerde diensten aan te bieden als antwoord op een gelegitimeerde vraag. Het betreft enkel een conceptuele analyse. Elke businesscase is geëvalueerd met onze DPO. Ik wens te beklemtonen dat in het project Putting Data at the center geen persoonsgegevens van reële natuurlijke personen zijn verwerkt of geïntegreerd.
In de loop van het project werden diverse used cases met onze partners en potentiële klanten geanalyseerd. Per used case wordt telkens de haalbaarheid geanalyseerd vanuit wettelijke en technische voorwaarden en securityvoorwaarden maar ook vanuit de financiële betaalbaarheid.
Alle verwerkingen van DG DT zijn gedocumenteerd in ons GDPR-register met onder meer de omschrijving van de verwerking, de finaliteit en de wettelijke basis. Wij zetten sterk in op security en privacy by design. Wij zijn ervan overtuigd dat het project conform de geldende wettelijke en procedurele kaders is aangepakt en dat wij de risico's in het kader van het project correct hebben geïdentificeerd en aangepakt.
Het project biedt veel potentieel voor een efficiëntere en effectievere overheidsdienstverlening voor burgers en ondernemingen. Het biedt economisch potentieel en is nodig om met nieuwe technologieën, zoals artificiële intelligentie, later eventueel aan de slag te kunnen gaan. Momenteel is het project op bevel van de staatssecretaris stopgezet.
Op dit ogenblik werken wij voort aan de gegevensregisters, om het geheel van de verwerkingen nog transparanter te maken. Onze servicesportfolio op onze website geeft een overzicht van alle diensten die wij aanbieden.
Op de pagina over authentieke bronnen vindt u de officiële lijst terug van alle bestaande authentieke bronnen evenals een gids over de manier waarop een authentieke bron kan worden opgezet en opgenomen.
Daarnaast kunnen onze collega's van andere overheidsdiensten advies krijgen bij het opzetten van zo'n authentieke bron. Via het coördinatiecomité van de federale dienstenintegrator overleggen we ook regelmatig met alle participerende overheidsdiensten en proberen we nieuwe initiatieven uit te werken om zowel het gebruik als de creatie van nieuwe authentieke bronnen te stimuleren.
Door het aanbieden van zulke herbruikbare tools en advies ondersteunen we ook het geheel van de overheidsdiensten.
Voor de toekomst mikken we vooral op vijf sporen: de creatie van meer inzicht in de overheidsdata die bij de overheid beschikbaar zijn, de data governance verbeteren en het aantal authentieke bronnen uitbreiden, een eenvoudige en klantgerichte toegang tot overheidsdata faciliteren, de ontwikkeling van smart data services, meer transparantie via my.government-data en de opvolging en integratie van de EU Data Governance Act, die op dit ogenblik in de fase van finalisering is.
01.03 Christoph D'Haese (N-VA): Dank u wel, mevrouw de voorzitster, en dank ook aan de staatssecretaris en aan de heer Smeets voor de toelichting.
Ik heb een aantal vragen die mogelijk vandaag beantwoord kunnen worden.
Een eerste vaststelling is dat dit parlement en wellicht ook de regering te weinig bezig is met de materie van de gegevensbescherming. Ik zou van deze gedachtewisseling gebruik willen maken om iedereen te vragen zich uit te spreken over de vraag hoe we de controle door Parlement en regering op de verwerking van persoonsgegevens door de overheid kunnen verbeteren. Kunnen de collega's en de sprekers hierover positie innemen?
We kunnen bijvoorbeeld denken aan een halfjaarlijkse toelichting door de bevoegde regeringsleden in deze commissie, gevolgd door een vragensessie de daaropvolgende week. Wat is het beleid rond audits binnen deze regering? Kan de Gegevensbeschermingsautoriteit bijvoorbeeld ingeschakeld worden in een proces rond reguliere doorlichting van de IT-projecten van de federale overheid, of een doorlichting ad hoc telkens een nieuw belangrijk onderdeel van de IT-infrastructuur wordt gelanceerd?
Tweede punt. De nota die we ontvangen hebben en die zojuist werd toegelicht, was dermate technisch dat we ons kunnen voorstellen dat niet alle ongerustheden bij de collega's zijn weggewerkt, zeker bij de Franstalige collega's. Daarenboven zitten hier meer juristen dan informatici – ik pleit zelf schuldig –, daar zult u zeker ook rekening mee willen houden. De tekst is niet altijd volkomen verstaanbaar; uw uiteenzetting was wel heel verhelderend. Tegelijk hebben we in deze commissie eerder al beslist dat we wellicht nog een volgende hoorzitting zullen houden. Misschien is het mogelijk om nog wat meer toelichting te geven bij de teksten, of die ook ter beschikking te stellen. Dat kan alleen maar het praktisch gebruik van de toepassingen die u in het rapport heeft beschreven, verder verduidelijken.
Ten derde, een aantal collega's van de andere taalrol is misschien wat minder geïnteresseerd in het dataproject en wat meer in de intrigerende figuur van de heer Frank Robben. De heer Robben zou vorige week aan een journalist van De Morgen verklaard hebben – ik zeg wel "zou" – dat hij totaal geen uitstaans heeft met het project Putting Data at the center. Dat project heeft aanleiding gegeven tot een artikel in Le Soir. Daarna kwamen er parlementaire vragen, ook in de plenaire vergadering.
Wat is precies de betrokkenheid van Smals bij dat project? Wat was de betrokkenheid van het Informatieveiligheidscomité? Acht u het al of niet plausibel dat de heer Robben in het geheel niet, rechtreeks noch zijdelings, met dat project in aanraking gekomen is?
Ten vierde, mijnheer de staatssecretaris, u hebt verklaard dat u in het geheel niet op de hoogte was van het project, maar ik heb daarjuist gehoord dat u het wel hebt stopgezet. Deze vraag is ook aan de heer Smeets gericht: welke regeringsleden van de vorige regering – men spreekt over een project uit 2018 – waren mogelijk wel op de hoogte, of dienden op de hoogte te zijn, van dat project?
Ten vijfde, wij hebben natuurlijk geen technologieaversie. Open data ter beschikking stellen als overheid is in onze ogen een bijzonder goede zaak. Nog maar een uur geleden heb ik echter gezien wat er zoal verkeerd kan lopen. De vaccinatiecentra zijn een brandend actueel thema voor de mensen die in de praktijk staan. De fouten in de lijsten van het agentschap Zorg en Gezondheid leiden ertoe dat het, tot onze verbijstering, totaal niet lukt om de beschermde categorie van mensen ouder dan 85 jaar te vaccineren. Zij moeten nu nochtans hoogdringend gevaccineerd worden en wij volgen daarbij graag de wettelijke regels die aan de lokale autoriteiten zijn voorgeschreven.
Er zitten vergissingen in. Op dit moment worden er mensen opgeroepen van 28 jaar. Zorgverstrekkers worden vergeten in het verhaal. Het debat over juiste data en een adequate en efficiënte kruising van die data is meer dan actueel. Ik zou daarover graag ook eens uw inzichten vernemen. Het kind mag hier niet met het badwater worden weggegooid. Technologische innovatie wordt door de N-VA zeker toegejuicht, maar natuurlijk willen we daarbij steeds een nauwgezette afweging van het recht op privacy. Het is ook nog maar van gisteren geleden dat de heer Geens hierover ook zeer passend tussenkwam in een andere samenstelling in de commissie.
Het staat dan ook buiten kijf dat in dat opendatabeleid steeds de nodige aandacht moet worden besteed aan anonimiseren, dan wel pseudonimiseren van persoonsgegevens. Qua principe lijkt dit een goed project, waarvan mijn oud-collega die deze materie de vorige legislaturen opvolgde, zelf nog lang de kar trok. U hebt het on hold gezet, maar hoe moet het nu verder? Wordt het project heropgestart? Zal het worden bijgestuurd? Welk opendatabeleid hebt u voor ogen? U blijft daar bijzonder vaag over. U geeft ons een aantal heel algemene beschouwingen, maar ik zou graag echt gedetailleerd weten wat u hiermee zult doen en hoe u hiermee verder aan de slag gaat.
U pleitte in dat artikel van Le Soir van twee weken geleden voor een totale transparantie. U hebt het woord in uw uiteenzetting ook onmiddellijk gebruikt. Op dat vlak zijn wij het volkomen eens met u. Privégegevens horen niet toe aan de staat of ambtenaren, maar wel aan de burger zelf. De geest van de GDPR wil de burger opnieuw controle geven over die persoonsgegevens. Er moet natuurlijk een onderscheid gemaakt worden tussen datgene wat de overheid nodig heeft voor het bestrijden van onder andere criminele activiteiten. Laten we daar zeer duidelijk over zijn. Daar mogen geen misverstanden over ontstaan. Het is altijd moeilijk om dat onderscheid te maken.
De toestemming staat daarbij centraal.
In dat licht meen ik dat een prioritaire werf voor de regering de elektronische toegang voor de burger tot zijn persoonsgegevens moet zijn, door in een portaal te voorzien bij alle overheidsdatabanken, maar ook via één digitaal loket dat de burger gemakkelijk de weg wijst naar elk van de portalen. Op die manier kunnen de betrokkenen te allen tijde te weten komen welke overheden en instanties welke gegevens hebben geraadpleegd in een welbepaalde databank, of op welk tijdstip de gegevens werden bijgewerkt en met welk doel. Zo kunnen zij hun rechten die zijn opgenomen in de GDPR, zoals het recht op verbetering, het recht op aanvulling of het recht op verwijdering, ten volle uitoefenen.
Dat portaal bestaat nu al voor het Rijksregister, al is het zeker nog voor verbetering vatbaar. Men zal zien dat dit door de materiële onvolkomenheden en misslagen die wij in het vaccinatiedebat hadden, actueel zal worden. Men voelt dat zo komen. Vrij snel zou dit uitgerold moeten kunnen worden voor alle databanken van de overheid.
De burger heeft daar recht op, en het zal ook het vertrouwen van de burger in de overheid op het vlak van gegevensbescherming en gegevensverwerking in het bijzonder, en het vertrouwen van de burger in de overheid in het algemeen, zeer zeker ten goede komen.
Dan hoeven wij in de toekomst misschien minder vaak apocalyptische artikels te lezen in Le Soir. Het is zeer opvallend dat daar in de Franstalige pers ongelooflijk veel aandacht aan besteed is, terwijl daarover in de Nederlandstalige pers amper iets terug te vinden is. Zulke artikelen zijn in de Franstalige pers allemaal zeer apocalyptisch, als ik ze zo mag omschrijven. Dat verhoogt natuurlijk het wantrouwen van de burgers, en ook van de volksvertegenwoordigers, inzake het databeleid van de overheid.
In het rapport dat u zonet hebt toegelicht, lees ik tot mijn tevredenheid dat van deze werf werk gemaakt zal worden. Maar wat is exact het beleid, wat is de verdere planning, wat is de verdere timing inzake deze werf?
Dit mag mijns inziens niet op de lange baan worden geschoven, zelfs niet op de middellange baan. Men moet onmiddellijk de hand aan de ploeg slaan en hiervan zo snel mogelijk werk maken. Ik dank u en ik kijk uit naar uw antwoorden.
01.04 Cécile Thibaut (Ecolo-Groen): Monsieur le secrétaire d'État, monsieur Smeets, je vous remercie d'être venus assez rapidement nous présenter ce projet.
Un article apocalyptique nous a rapporté des faits étrangers à tout processus démocratique. Nous vivons des moments particuliers. La crise sanitaire, la récolte des données, la défiance ambiante, mais aussi la recherche de la vérité composent en effet un cocktail plutôt inquiétant pour nos concitoyens. En tant que parlementaires, nous sommes interpellés par ces derniers qui nous reprochent de ne pas remplir notre rôle. Nous ne devons pas rater plusieurs éléments présents dans la base de données, puisque c'est le législateur qui en détermine l'objet et les finalités. Le Conseil d'État et l'Autorité de protection des données participent également à ce contrôle démocratique de la collecte de nos données.
L'article en question nous a tous bouleversés. Monsieur le secrétaire d'État, j'ai entendu votre volonté de faire toute la transparence en ce domaine, comme vous l'aviez déjà annoncé en séance plénière. Monsieur Smeets, j'ai lu ce rapport avec attention. Vous nous avez expliqué que BOSA ne croisait pas les données, mais qu'il les transférait uniquement dans le cadre d'une demande justifiée. Celle-ci est inscrite dans la loi et a été validée par le Conseil d'État ainsi que par la Commission de la protection de la vie privée à l'époque. Par conséquent, je me dis que le contrôle existe bien et que je n'ai pas à en douter.
Toutefois, je m'interroge quant à l'objectif de la centralisation de toutes les données d'utilisateurs. J'entends bien que ce seront les services de l'État, mais aussi des opérateurs privés, qui les traiteront. J'aimerais vous entendre davantage à ce sujet, car l'article évoquait notamment la KBC. Il me semble donc indispensable de le préciser.
J'en viens à l'origine de ce projet. Je suis étonnée, monsieur le secrétaire d'État, que vous n'ayez pas pu nous rassurer dès le jour de la séance plénière. Si je comprends bien, et vous rectifierez si je me trompe, ce projet de Smart Data Services figurait dans la note de politique générale de M. De Croo sous la précédente législature.
C'est en 2017 que l'idée de "Putting Data at the center" apparaît dans l'agenda numérique de M. De Croo. C'est une question importante.
La base légale est donc bien la loi du 5 mai 2014 garantissant le principe de la collecte unique de données. J'aimerais savoir quelle est l'autorité de contrôle par rapport à cet intégrateur de services. C'est le ministre de tutelle, mais il y a bien une autorité de contrôle complémentaire.
À la lecture du document, j'ai aussi cherché quel était le lien avec la Smals. Pourriez-vous confirmer s'il existe un lien avec la Smals? S'il n'en existe pas, quel est le lien exact avec le CSI? Est-ce là que pourrait être impliqué M. Robben?
Qui a commencé ce projet? Qui était le ministre de tutelle? Je vous demande la confirmation.
Monsieur le secrétaire d'État, vous avez aussi dit qu'aujourd'hui, ce serait un peu le grand soir. Vous avez appelé à une opération de transparence pour rétablir la confiance avec le citoyen. Je ne vous ai pas entendu par rapport à un plan stratégique exact pour rétablir cette confiance. Ce n'est pas seulement la confiance, c'est aussi dans la législation. Qu'est-ce qui va être mis en place?
Nous allons anticiper l'évaluation de l'Autorité de protection des données. Quelle est votre vision des choses par rapport au CSI? Vous parliez de "nébuleuse". Quel est votre plan du "grand soir"? Avez-vous le sentiment de ne pas avoir suspendu ce projet assez vite? Il fait partie, en quelque sorte, des projets éligibles à la Commission européenne.
01.05 François De Smet (DéFI): Madame la présidente, je tiens, tout d'abord, à remercier M. le secrétaire d'État ainsi que M. Smeets pour leur intervention. Je reste troublé par ce projet, même si nous avons reçu un certain nombre d'éclaircissements.
On peut comprendre que l'État traite de données sensibles. On peut même comprendre que l'État puisse être amené à croiser des données personnelles. En soi, ce n'est pas le problème, tant que le RGPD est respecté et tant que le contrôle parlementaire existe d'une manière ou d'une autre.
J'entends que BOSA ne croise pas de données, mais je ne suis pas totalement rassuré quant au fait que cela ne puisse pas se produire à l'avenir et que l'on ne puisse pas croiser, demain, des données relatives à la santé, des données judiciaires, de sécurité sociale ou fiscales.
En vertu du RGPD, cet ensemble de renseignements privés voire intimes se doit d'être manipulé dans un objectif précis, légitime et avec un mandat du Parlement. Or, c'est visiblement à ce niveau qu'il peut y avoir débat. En effet, j'ai toujours l'impression qu'on est face à un projet qui n'est pas suffisamment encadré par un texte législatif, ni par le moindre document administratif probant. Ce faisant, à ce stade, le contrôle politique reste insuffisant.
Il existe quand même un pacte de confiance entre le citoyen belge et l'État pour que les données qu'il confie à ce dernier soient traitées de manière loyale. L'État se doit de respecter ce pacte en toute circonstance et, dès lors, de s'assurer que les données à caractère personnel de nos citoyens soient traitées en toute transparence.
Je salue la volonté de transparence et les informations complémentaires qui nous ont été données. Toutefois, monsieur Michel, n'estimez-vous pas que ce projet devrait être encadré par des normes législatives un peu plus fortes et un peu plus strictes que ce n'est le cas aujourd'hui ou bien vous rangez-vous simplement aux conclusions du rapport de BOSA? Pourquoi l'Autorité de protection des données n'est-elle pas mobilisée dans ce projet? Le fameux Comité de sécurité de l'information n'apparaît-il pas comme un moyen de détourner le contrôle du Parlement, du Conseil d'État et de l'APD? Enfin, quel est le rôle de la Smals et de M. Robben dans ce dossier?
01.06 Kris Verduyckt (Vooruit): Mevrouw de voorzitster, als er één ding goed is aan de covidcrisis, dan is het dat die heel de discussie rond privacy op scherp heeft gesteld, dat is heel duidelijk. Dat maakt het mogelijk dat één krantenartikel ervoor zorgt dat er een gigantische hetze ontstaat rond een project dat sinds 2017 bestaat. Ik dacht dat ondertussen het stof een beetje was gaan liggen, maar ik merk aan sommige vragen dat dit toch niet helemaal het geval is. Ik zou er toch toe willen oproepen om voorbij de waan van de dag te kijken en dit vooral aan te grijpen om een goede discussie te voeren over waar het echt om draait, met name onze datagegevens. Dat is een essentiële discussie.
We zien vandaag dat zowel op de privémarkt als bij de openbare sector, ook een belangrijke eigenaar van vele data, zich een belangrijke discussie aandient over onze datapot. Onze gegevens zijn inderdaad van ons en dat is heel belangrijk. Voor vele bedrijven die ik niet zou moeten noemen – de Googles, Amazons en Facebooks van deze wereld – is dat bijzonder belangrijk: data van ons zoveel mogelijk integreren in onze datapot en daarmee aan de slag gaan. Wat mij betreft, zit daar echt een gevaar in. We moeten dat goed bekijken en er zeker een discussie over voeren.
Vandaag gaat de discussie over de overheid. Ik ben het eens met veel van wat al gezegd is. De heer D'Haese heeft gezegd dat de overheid niet het recht heeft zomaar over onze data te beschikken. Zij beschikt wel over onze data. De grote vraag is: mogen wij, als burgers, ook weten wie welke data heeft? Als ik het artikel lees, zijn we in 1984 terechtgekomen en is het project dan Big Brother. Zo lees ik het artikel. De vraag is of het artikel zo moet worden gelezen.
Het zou ook kunnen dat wie door een andere bril kijkt, de mening is toegedaan dat de opzet van dit project net is om burgers een goed beeld te geven waarover de overheid beschikt, welke informatie ze over mij heeft, en daarvan een bundeling te maken. Zo zou men het ook kunnen bekijken. Op basis van één krantenartikel wil ik het hele project niet zomaar afbranden, maar ik heb er wel vragen bij. Het is goed dat we ons kritisch opstellen als het gaat over onze eigen data.
Ten eerste, ik lees in het dossier, dat vrij technisch was, dat het project werd goedgekeurd door Opera. Moest dat niet op regeringsniveau gebeuren? Hoe is dat destijds verlopen?
Ten tweede, er is staat in dat er één used case is geweest, bij het project Best 1. Kunt u daarover wat meer uitleg geven? Dat is immers toch wel interessant om te weten.
Ten derde, u zegt het only-oneprincipe te willen versterken. In het verslag lees ik evenwel het tegenovergestelde, daar zegt men net dat eerder moet worden versoepeld. Graag had ik daarover een beetje uitleg gekregen.
Ten vierde, een frase die mij wel bezorgd maakt is die over het economisch potentieel. Wat wordt daarmee bedoeld? We gaan toch geen data verkopen? Dat kan toch niet de bedoeling zijn. Dat is natuurlijk wel een heel belangrijk aandachtspunt.
Ten vijfde, ik heb ook een vraag over algoritmes en data. Wij moeten niet ver kijken. Wij hebben gezien wat er in Nederland is gebeurd met de toeslagenaffaire. Dat gaat net over dit soort zaken. Wij werken daar ook aan in het adviescomité voor Wetenschappelijke en Technologische Vraagstukken. Een van de voorstellen om verder uit te spitten is om algoritmes toe te passen op data, zeker in openbare besturen. Hoe zit het hier? Ik lees immers iets over algoritmes in het document en ik vind dat wij daarmee zeer omzichtig moeten omgaan, zeker gelet op wat in Nederland is gebeurd.
Ten slotte, hoe moet het nu verder?
01.07 Nabil Boukili (PVDA-PTB): Madame la présidente, monsieur le secrétaire d'État et monsieur le directeur général, je vous remercie pour les éclaircissements apportés.
Monsieur le directeur général, la question que je me pose en premier porte sur l'existence même de ce projet. On lit dans le rapport que c'est un consultant de la Smals qui a fait la proposition, sauf erreur de ma part, et que cette proposition a été acceptée ou confirmée par plusieurs fonctionnaires. Comment ce projet a-t-il vu le jour? Qui l'a demandé? Une autorité publique, une autorité politique ou s'agit-il d'une initiative propre qui échappe à tout contrôle du politique?
Ensuite, sur le fond du projet, je rejoins mes collègues qui trouvent l'article du journal Le Soir assez accablant à ce propos, notamment sur l'aspect relatif à la vie privée. Vous dites que toutes les démarches ont été faites dans le respect de la vie privée mais il y a deux éléments qui contredisent cette affirmation. D'abord, il y a l'aspect légal. Dans le RGPD, tout traitement de données, même le fait d'avoir juste une banque de données et un accès sans traiter les données en elles-mêmes est considéré comme un traitement de données. La loi prévoit que tout traitement de données doit être encadré par un texte législatif. Dans ce cadre-là, le respect de la vie privée n'est pas garanti sans un texte législatif.
Par ailleurs, il y a la question de la finalité fondamentale dans un traitement de données. Elle doit être définie au préalable. Dans ce projet, on ne voit pas quelle est la finalité puisqu'il s'agit de regrouper les données et, en fonction des besoins de chaque service ou de chaque ministère, etc., de fournir les données demandées.
L'absence de définition de la finalité, préalablement requise, pose problème. Que répondez-vous quand on dit que la procédure a été faite dans le respect de la vie privée? Comment se fait-il que ni l'aspect de la finalité, ni l'aspect de la légalité – absence d'un texte de loi voté par le Parlement qui aurait défini les contours du traitement de ces données – n'ont été pris en compte? Le Parlement aurait été bien incapable de se prononcer sur ce projet-là vu que nous n'étions pas au courant. Nous avons été avertis par la presse. Voilà un élément interpellant quant à la nature de ce projet!
Se pose aussi la question de la Smals en général. On voyait déjà, dans les faits, que cette ASBL échappait à tout contrôle: elle agit de manière indépendante et ne doit rendre de comptes à aucune autorité politique. Ce projet confirme cette situation et pose question quant au cadre d'existence de la Smals en tant que telle. Ne faudrait-il pas, monsieur le secrétaire d'État, mettre en place des mesures pour résoudre ce problème? Une entreprise de cette importance doit faire l'objet d'un contrôle politique. Il faut en définir les contours. La Smals ne serait-elle pas l'exemple type d'une entreprise qui devrait être sous contrôle public plutôt que sous statut d'ASBL, échappant ainsi à tout contrôle public et démocratique?
Cette affaire est aussi révélatrice d'autre chose. Je ne citerai pas de noms, pour éviter toute polémique, mais il existe un vrai problème de conflit d'intérêts. On retrouve certaines personnes aux différentes étapes de ce traitement des données, et même jusqu'à l'Autorité de protection des données (APD). Là aussi, on constate des conflits d'intérêts. Comment garantir la fonction de l'APD comme garde-fou en matière de protection de la vie privée en sachant que, en son sein, règnent des conflits d'intérêts; en sachant que, en son sein, on retrouve des personnes censées être contrôlées par l'APD? C'est un gros problème pour notre démocratie. Il faut le prendre ne considération. Avec mon groupe, nous avons entrepris des démarches pour trouver des solutions à ces conflits d'intérêts.
Monsieur le secrétaire d'État, j'aimerais avoir votre avis à ce sujet, savoir si vous avez des suggestions, et si vous soutenez les différentes démarches qui ont été mises en place.
J'en viens au rôle du Comité de sécurité de l'information. Ce comité pose problème parce que la seule autorité compétente en Belgique est l'APD. Le Comité de sécurité de l'information déborde de ses compétences quand il doit agir sur ces questions-là. Il y a même une potentielle illégalité dans le sens où la seule autorité reconnue et officielle concernant le contrôle du traitement des données, c'est l'APD. Le Comité de sécurité de l'information ne doit pas s'y substituer.
Monsieur le Directeur général, vous avez parlé de partenaires et de clients potentiels. Dans l'article du journal Le Soir, on parle notamment de la KBC. Quand vous dites "clients et partenaires potentiels", les entreprises privées sont-elles comprises dans ces termes? Des entreprises privées peuvent-elles faire appel à ces données?
Enfin, monsieur le secrétaire d'État, vous avez à juste titre arrêté ce projet parce qu'il pose vraiment question et qu'il est assez problématique. Je pense que les différentes interventions l'ont bien exprimé ici. Ne serait-il pas plus judicieux d'annuler complètement le projet? Tout projet de la sorte doit passer par une demande politique encadrée par un texte législatif, discuté et débattu au Parlement. En effet, il concerne un thème très important, à savoir les données personnelles de nos concitoyens. Une annulation ne serait-elle pas plus judicieuse qu'une simple suspension du projet?
01.08 Nathalie Gilson (MR): Monsieur le secrétaire d'État, je vous remercie. Vous nous avez communiqué un rapport qui donne une image positive pour les citoyens et pour les entreprises de cette utilisation des données. L'objectif de ne pas devoir donner plusieurs fois les mêmes données, de gagner du temps et de pouvoir faire face à une administration plus fluide, c'est certainement louable. Le citoyen peut y voir un intérêt. On entend souvent des citoyens se plaindre de devoir donner plusieurs fois les mêmes informations à l'État.
Du point de vue du citoyen et du Parlement, le problème vient du fait qu'on passe d'une situation dans laquelle l'échange et le traitement de données sont là pour aider le citoyen à un système – et le covid a sans doute accentué cette perception – dans lequel le traitement des données peut être utilisé pour le contrôle du citoyen. À ce moment-là, on est plus dans l'imaginaire, mais on sent qu'on pourrait s'approcher d'une dystopie.
Certains collègues ont parlé d'un article dans Le Soir, mais il y en a eu plusieurs. Les journalistes font leur travail, ils font des recherches et ils ont mis l'accent sur certaines choses, peut-être plus du côté francophone du pays, ce qui fait que nous avons cet intéressant débat aujourd'hui.
De plus en plus de traitements de données sont autorisés mais il semble que c'est plus par des interventions et délibérations du Comité de sécurité de l'information que par la loi en tant que telle. Or, en commission de l'Intérieur, nous avons organisé des auditions avec plusieurs experts en protection des données, des professeurs du monde académique, le directeur de l'APD et la directrice du Centre de connaissance. Ils nous ont rappelé que le Comité de sécurité de l'information doit se limiter à déterminer des modalités de traitements de données et ne doit pas autoriser d'autres personnes à y avoir accès. Peut-être que la loi créant le Comité de sécurité de l'information le permet, et il faudra alors sans doute l'évaluer, mais les principes fondamentaux de traitement des données, comme le RGPD, ne vont pas dans ce sens. Or ce sont des normes supérieures et d'application directe.
Cela a d'ailleurs à nouveau été épinglé par le Conseil d'État et par l'APD dans le cadre de l'analyse sur l'accord de coopération sur la vaccination qui a été voté ce mardi en commission de la Santé à la Chambre.
Si cette architecture, qui est en phase pilote et qui a maintenant été arrêtée par notre secrétaire d'État, peut ne pas être un problème en soi, il n'en reste pas moins des interrogations. Que pourrait-il permettre d'autre que ce but louable de faciliter la vie du citoyen? Quels sont les risques si cela pouvait servir de support pour des traitements de données qui n'auraient pas été autorisés par notre Parlement après les garde-fous habituels que sont l'avis de l'Autorité de protection des données et l'avis du Conseil d'État? Ce sont des questions légitimes qu'on peut se poser.
La Smals est plutôt comme un créateur de "tuyauteries" informatiques. On a des intervenants comme le BOSA qui met en place un système dans l'esprit et dans la continuation de la loi de mai 2014. Ne faut-il cependant pas réfléchir aux dérives qui risqueraient de se produire? Ne faut-il pas une loi qui cadre ces expériences pilotes qui ont été menées et qui permette qu'elles puissent se poursuivre si l'objectif est louable mais avec le vote d'une loi pour que le traitement des données, la transmission des données, la finalité, si elle est différente de celle de la loi du 5 mai 2014, soient validés par une loi?
Il faut instaurer la transparence. Monsieur le secrétaire d'État, c'est votre intention. Vous l'avez communiqué à la presse et vous nous l'avez confirmé. Je m'en réjouis. La transparence est primordiale dans un domaine aussi sensible que les données personnelles et encore davantage dans cette crise que nous connaissons où les données de santé sont reconnues par le RGPD comme des données sensibles. Le groupe MR appelle vraiment à ce que le citoyen ait accès à l'ensemble des données que l'État détient à son sujet.
Monsieur le secrétaire d'État, c'est aussi votre souhait de créer un accès qui permettrait à chaque citoyen de consulter les données dont l'État dispose sur lui, de les rectifier ou de les faire supprimer. Il me paraît également essentiel que la législation "Only once" sur laquelle s'appuie ce projet soit précisée. Le but est-il de permettre à une autorité publique de recevoir les données demandées auprès d'une source authentique? Moyennant quelles formalités? Une simple autorisation du Comité de sécurité de l'information? Considérons-nous que c'est suffisant pour répondre aux exigences de la Constitution et du RGPD? Il convient de s'interroger là-dessus d'une manière générale, d'autant plus qu'une plainte a été déposée auprès de la Commission européenne sur le fonctionnement du CSI.
Le citoyen doit avoir accès à ses données, avec un droit de rectification. Monsieur le secrétaire d'État, vous aurez tout notre appui pour travailler dans cette direction.
Lors des auditions en commission de l'Intérieur, nous avons entendu que certains pays vont jusqu'à publier les algorithmes, dans un souci de transparence. C'est une question que je pose: serait-il envisageable de publier les algorithmes, d'y avoir accès?
Arrêtons de dire que le RGPD est là pour empêcher les choses! D'après ce que
l'on nous a dit, le RGDP n'interdirait pas, par exemple, de collecter les
plaques d'immatriculation et de contrôler, en cas de limitations des
déplacements à cause de la crise sanitaire, qui quitte le pays. Il n'est pas
impossible de créer un tel système. Mais le RGPD impose que ce soit le
Parlement, une assemblée législative élue qui décide quelles données sont
collectées, dans quel but et qui y aura accès.
Il est indispensable, en ce moment de crise que nous vivons, que le citoyen sache à l'avance quelles données on a sur lui, à quoi elles seront utilisées et dans quel but. Et, dans la mesure où l'on risque des sanctions pénales pour non-respect des mesures sanitaires, le citoyen a le droit de savoir, au nom du principe de droit pénal de prévisibilité, si son comportement sera réprimé ou est répréhensible.
Il s'agit d'un autre aspect de la transparence, qui montre bien que ce traitement des données n'est pas quelque chose qui tourne sur soi-même, mais qui touche au fondement même de notre société et à ce que la Commission de Venise appelle d'une formule que j'apprécie: "le patrimoine constitutionnel de l'Europe". Ce patrimoine, nous voulons tous le défendre. Pour cette raison, monsieur le secrétaire d'État, je vous remercie.
01.09 Vanessa Matz (cdH): Monsieur le secrétaire d'État, je vous remercie pour les quelques explications que vous avez pu nous fournir au cours de cette réunion de commission. Si, par hasard, je ne pouvais entendre vos réponses, c'est parce que je devrai assister à 14 h 15 au débat avec la ministre de l'Intérieur, relativement au projet de loi Pandémie, dont certains volets sont connexes à ce dont nous traitons en ce moment. N'y voyez donc aucun désintérêt de notre part, car nous suivrons attentivement la suite de cet échange grâce à la vidéo.
Tout d'abord, je tiens à remercier également la presse – et je pense que vous devriez aussi la féliciter – pour son travail d'investigation qui a été poursuivi très sérieusement et qui a pu mener à l'éclatement de cette affaire pas du tout anodine. Pour cette raison, nous devons souligner le travail qui a été entrepris. Grâce à lui, et vous l'avez reconnu, nous avons tous été informés de l'existence de ce projet. Il importait de le souligner.
Par ailleurs, je tenais à vous remercier d'avoir chaussé vos bottes pour nettoyer les écuries d'Augias, si vous me passez l'expression. C'est en effet un énorme dossier auquel vous vous êtes attaqué. En séance plénière, vous avez fait preuve d'un volontarisme certain, et je vous en remercie. Vous venez également d'annoncer certains chantiers sur lesquels vous êtes en train de plancher. C'est essentiel. J'espère – et je ne le mets certainement pas en doute – que les actes suivront les paroles en vue de régler ce dossier colossal aux multiples ramifications. Comme les collègues l'ont rappelé, il concerne la protection des données, la présence de conflits d'intérêts, le rôle du Parlement, la légalité et la constitutionnalité, etc. Tous ces aspects sont essentiels, particulièrement et à plus forte raison dans la période qui nous occupe, puisqu'elle prive de libertés beaucoup de personnes.
Pour des raisons sanitaires, cette proportionnalité fera notamment l'objet du débat qui aura lieu tout à l'heure en commission de l'Intérieur. J'espère et je suppose que cela ne veut pas dire de votre part que, sur le projet avorté, ce serait: "Circulez, il n'y a rien à voir!"
Comme d'autres collègues l'ont dit, le rapport qui nous a été transmis est très technique. Nous sommes, pour la plupart, des juristes. Ce n'est pas qu'on ne comprenne pas, mais on a l'impression qu'il noie le poisson.
Il me reste une question fondamentale: qui, à un moment donné, a commandé ou a demandé ce projet de centralisation de données? Pourquoi et dans quel but? Est-ce une manière de faciliter le travail des utilisateurs? Ces utilisateurs, on aurait tendance à penser que ce sont nos concitoyens. Les utilisateurs sont pourtant les administrations et d'autres organes. Pour que ce soit plus facile? En quoi le serait-ce? Pourquoi s'est-on autorisé à outrepasser des règles légales par rapport à cela? Je pense que le nœud du problème est là aussi.
Bien entendu, vous avez annoncé des réformes pour l'avenir. J'applaudis quand vous annoncez ces réformes, mais je ne pense pas qu'on puisse, sur le dossier avorté, dire: "Circulez, il n'y a rien à voir!". C'est quelque chose de fondamental qui a été révélé par la presse et pour laquelle vous vous êtes indigné largement. Je pense qu'il faut faire le ménage sur ce dossier et connaître le fond de l'histoire.
Ce projet a-t-il été mis en place sous un contrôle politique? À titre personnel, je ne le pense pas. Mais je ne suis pas assez informée pour le savoir. Qui pilote-t-il cette opération d'importance? Comment se fait-il que cela ne revienne pas aux oreilles d'abord de l'exécutif, ensuite du législatif dans son rôle de contrôle? En effet, comme vous le savez, le Parlement reste aussi totalement à l'écart de ce projet. C'est pourtant lui qui est le seul et unique organe compétent pour légiférer sur ces matières sensibles restreignant les libertés. Je pense que vous devez nous éclairer, mais peut-être pas sur-le-champ. En effet, je suppose que vous-même êtes en train d'essayer de vous dépatouiller dans un dossier extrêmement complexe, non seulement technique mais aussi aux larges ramifications.
Je pense qu'il faudra aussi, pour l'avenir, s'attaquer très clairement au Conseil de sécurité de l'information. Il faut une loi. C'est de nouveau le Parlement qui devra intervenir au niveau de la désignation de ses membres et de ses missions. C'est également un chantier d'envergure.
Sans cet organe essentiel muni de l'indépendance nécessaire qui doit être la sienne et sans, pour autant, qu'il n'outrepasse ses compétences, nous passerons à côté de la cible.
Il faudra également - ce n'est pas un scoop - se pencher sur l'APD. Je ne parle pas des avis qu'elle remet. Il s'agit plutôt d'en faire une véritable Autorité de protection des données. Il ne suffit pas de regarder ses avis et d'estimer qu'ils sont intéressants, sans en tenir compte. Les avis qu'elle rend sont extrêmement pertinents. Ils ont malheureusement été entachés par des conflits d'intérêts, un manque d'indépendance. Il n'en reste pas moins que, sur le fond, ils restent extrêmement pertinents, en particulier durant la période qui nous occupe. Ne gâchons donc pas ce travail important d'expertise en raison de conflits d'intérêts.
Monsieur le secrétaire d'État, nous souhaiterions savoir par quel biais vous entendez prendre ce dossier de l'APD qui est vraiment essentiel et qui a un rôle d'appui significatif en apportant son expertise dans le cadre de tous les dossiers qui nous occupent. Voilà les sujets sur lesquels je souhaitais vous interroger.
Avant de terminer mon intervention, je voudrais vous féliciter d'avoir enfilé vos bottes, sachant qu'à mon avis, vous allez, bien vite, devoir mettre votre doudoune ou votre parka car il s'agit d'un dossier qui fera encore couler beaucoup d'encre. En tout cas, le Parlement souhaite être tenu informé des différentes étapes que vous entreprendrez.
01.10 Koen Geens (CD&V): Mevrouw de voorzitster, mijnheer de staatssecretaris, beste collega's, mijn verontschuldigingen voor mijn laattijdigheid, ik had een verplichting waaraan ik niet kon ontsnappen, maar ik ben zeer dankbaar qu'on jette la lumière over een project dat tot heel wat commotie geleid heeft. Ik neem dan ook aan dat de huidige vergadering niet de laatste is die wij daaraan wijden.
Alle verdachtmakingen die naar aanleiding van dat project zijn geuit, moeten de kans krijgen om in de Kamer te worden tegengesproken, dan wel te worden bevestigd. De vrijheid van de pers apprecieer ik ten zeerste en de onderzoeksjournalistiek ben ik bijzonder genegen, maar ik heb dan ook heel graag dat hier voluit de kans te baat genomen wordt opdat iedereen die beschuldigd wordt, zich kan verdedigen, indien die verdediging pertinent kan zijn om transparantie, waarop wij zo gesteld zijn, te geven.
Gedurende meerdere jaren heb ik de eer gehad deel uit te maken van diverse regeringen. Nooit heb ik van mijn diensten of van andere diensten omtrent datgene wat we nu bespreken iets anders gehoord dan de volgende drie zaken.
Ten eerste, er wordt gesteld dat onze overheid onvoldoende geïnformatiseerd is. Wij kunnen niet mee. Wij zijn niet in staat om te volgen. Bekijkt u daartoe de verslagen van de commissie voor Justitie sedert 2000, u zult permanent alle partijen en leden horen zeggen dat de informatisering van dit land suboptimaal is en dat het niet werkt, overigens niet enkel bij Justitie. Er gold één uitzondering, namelijk de Kruispuntbank van de Sociale Zekerheid, die door toenmalig minister van Sociale Zaken, de heer Dehaene, is gecreëerd met behulp van een zekere heer Robben. Dat is dertig jaar geleden. Ik heb het gevoel dat die databank werkt. Er zijn dus, ondanks alles, dingen die werken in dit land.
Een tweede vraag die ik permanent hoorde, is dat om de criminaliteit en het terrorisme aan te kunnen, ik als minister ervoor moest zorgen dat toegang verschaft werd tot alle mogelijke netwerken, met toestemming van de onderzoeksrechter. Het was anders onmogelijk om de criminaliteit te volgen.
In het kader van de gezondheidscrisis heb ik in maart 2020 één boodschap van de experts heel goed onthouden. Als we de contacttracing op punt stellen, dan kunnen we de epidemie overwinnen. Dat werd geen vijf of geen tien keer herhaald, dat werd wel honderd keer herhaald. Dat moest gebeuren in overeenstemming met de privacywetgeving en dat is ergens begin mei gebeurd. Dat is niet zonder slag of stoot gegaan. Dat is van het moeilijkste dat er is en er zijn niet veel mensen in dit land die op zo'n moment in staat zijn knopen door te hakken. Is dat succesvol gebeurd of niet? Toen zei men ons dat de vaccinatie nog gerust twee jaar op zich kon laten wachten.
Men heeft het hier voortdurend over de botten van de staatssecretaris die hij gelukkig heeft aangedaan. Ik zou zeggen à la guerre comme à la guerre. In maart en mei was het in zekere zin oorlog. Ik wil aan dit halfrond vragen zich te realiseren dat wij leven in de eeuw van het 'dataïsme'. Dat is een absolute zekerheid en het enige wat een mens moet doen, is daarvan op een goede manier gebruikmaken, desgevallend met toestemming van de rechter, met alle mogelijke Chinese walls en hermetische afsluitingen. We moeten zeker niet zover gaan dat we die data in handen van één persoon geven. Dat zou wel het domste zijn dat we kunnen doen, maar de overheid moet op dit stuk performant zijn. De bevolking vergeeft het haar niet.
Ik ben niet meer zo jong en ik heb mij dus onlangs voor het eerst, op 63 jaar, veroorloofd om mypension in te tikken. Ik had binnen de 5 minuten mypension.be gevonden. Had ik dat nu niet gekregen, wat had ik dan gezegd? Wat weet die overheid allemaal van mij om mij die gegevens te kunnen geven? Het één en het ander, wat ik misschien liever niet zou hebben dat ze weet. Bijvoorbeeld waar ik allemaal heb gewerkt. Is het zo leuk dat de overheid dat weet met één druk op de knop? Misschien niet, maar ik heb toch aan mijn vrouw kunnen zeggen wat mijn pensioen zou zijn als ik de 65 jaar zou overschrijden en niet meer verkozen zou worden. Dat is allemaal gebeurd.
Ik wil dus iets vragen aan een aantal partijen. Wij moeten controleren en wij moeten zeer nauw toezien op de privacy.
Ik heb daar geen enkel probleem mee, maar ik denk dat men zich in de ideologische strijd echt van vijand vergist. Ik ben niet bang van staatssecretaris Michel. Ik ben ook niet bang van minister Lalieux. Ik zou daaraan kunnen toevoegen: ik ben zelfs niet bang als die of die minister bevoegd wordt van dat. Ik ben wel bang van alle private providers. Ik stel vast dat zij zich beschouwen als een soort van publiek netwerk, waarlangs gelijk wie gelijk welke rommel kan verspreiden. Partijen die de vrije markt hoog in het vaandel voeren, zouden ook dat moeten zien.
Wat Facebook, Twitter, Whatsapp, Instagram en TikTok kunnen aanrichten, daarvoor ben ik nog banger dan van wat mijn kleine Belgische overheid kan aanrichten op het ogenblik dat ze weet dat ik als minister met een Volvo reed. Wist de minister van Financiën dat ik met een Volvo reed van de Staat? U reed met een Volvo S60 en dat is een voordeel van alle aard, want die Volvo was niet van u. Dan zeg ik: spijtig dat ze ook al weten dat ik met een Volvo S60 reed. Gelukkig is dat niet zo'n grote auto, maar dat weten ze dus ook.
TikTok weet gelukkig nog niets van mij, maar wat Facebook en Twitter allemaal van mij weten, omdat ik niet anders kan dan aan die muziek meedoen – welke politicus kan dat vermijden, mevrouw de voorzitster – is onvoorstelbaar en Europa doet daar veel te weinig aan. Dat is wat onze staatssecretaris moet doen. Daar is de strijd.
Men heeft er tien jaar over gedaan om iemand als de heer Trump te muilkorven. Pas dan erkende men dat men niet zoals AT&T of Ma Bell was, dat men een private provider was die ook ethische standaarden heeft. Dat is godgeklaagd. Dat hebben wij allemaal laten gebeuren. Wij gedragen ons daar onmachtig tegenover. Dat begint geleidelijk aan te verbeteren, maar laten wij ons alstublieft niet van vijand vergissen. Ik zou graag hebben dat de heer Robben het hier komt uitleggen, in de plaats van dat hij voortdurend in de kranten wordt aangevallen. Dat is misschien terecht. Het is best mogelijk dat hij 1.001 fouten heeft gemaakt. Men moet hem echter de kans geven het uit te leggen. Men mag zich niet van vijand vergissen. Want privacy, dat is een vuile oorlog, als we niet oppassen.
Ik zou graag hebben dat de Belgische overheid, met alle respect voor het nodige wetgevend werk, de kans krijgt zich behoorlijk te organiseren, zodat haar burgers op een 21ste-eeuwse wijze worden bediend. En dat is waar de vaccinatiestrategie van vandaag ook mank loopt. Dat is te betreuren: mensen worden niet opgeroepen zoals het hoort. Het is belangrijk dat wij ons goed organiseren.
Het lijkt in dit debat soms of de Belgische overheid onze vijand is, maar eigenlijk is zij onze vriend. Ik kan mij niet voorstellen dat in de vorige regering de ministers bevoegd voor privacy zich totaal zouden hebben laten rollen door hun administratie. Mocht dat wel zo zijn, dan moeten we daar natuurlijk grondig naar kijken. Maar ik zou niet graag hebben dat deze heksenjacht verdergaat zoals ze nu wordt gevoerd, want dan zal ik ook mijn botten aantrekken.
Ik zou graag hebben dat dit debat objectief gevoerd wordt. Ik zou ook graag willen dat de personen die beschuldigd worden, beluisterd worden. Als ze verwijderd moeten worden, dan moet dat maar. Maar iemand die sedert 1986 dit land uitstekende diensten bewijst – tot bewijs van het tegendeel – op die manier aanvallen? In andere landen zou men die met een eervol pensioen bedanken. En het mag eindigen als men de persoon in kwestie niet hoort.
De voorzitster: Alvast een reactie op dat punt: ik herinner mij dat wij in onze commissie al besloten hadden de heer Robben uit te nodigen. Dus als iedereen het daarmee eens is, zullen wij dat ook inplannen in onze agenda.
01.11 Mathieu Michel, secrétaire d'État: Madame la présidente, je laisserai le soin à M. Smeets de répondre aux questions techniques et sur les implications des uns et des autres dans ce dossier.
Je n'ai pas rejoint les bancs du gouvernement depuis très longtemps et je vis un moment d'émotion. J'ai le sentiment que nous vivons un moment important parce que les choses se disent au sujet de l'efficience de l'État, de sa simplification, de sa digitalisation. J'entends aussi beaucoup de choses qui ont trait au respect de la vie privée et aux libertés fondamentales. Il est important de mettre l'ensemble des éléments sur la table. La situation n'est ni noire ni blanche et la vérité se trouve dans les nuances des couleurs.
Aujourd'hui, la technologie nous permet de tout faire. La vraie question est de savoir ce que nous voulons en faire. La vraie question est de savoir quelle est la vision que nous nous donnons en matière de données, en matière de simplification, en matière de recherche, en matière de connexion entre l'innovation et les données personnelles, pseudonymisées, anonymisées. Il faut voir comment la société et chaque élu dans ce Parlement s'emparent de ces questions fondamentales. Quel est le monde que nous voulons pour demain?
J'ai entendu M. D'Haese dire qu'il faut que le politique s'implique davantage, comprenne davantage. C'est peut-être un débat compliqué mais il faut que le politique s'implique. Voilà pourquoi, madame la présidente, vous me donnez mon premier moment d'émotion sur les bancs de ce Parlement.
Zoals ik reeds in mijn inleiding zei, zijn vertrouwen en transparantie essentieel als het gaat over fundamentele vrijheden.
Ik heb nog steeds veel vertrouwen in het werk van de federale ambtenaren. Ik ben mij bewust van de omvang van het werk dat gedurende vele jaren is verricht met het oog op de totstandbrenging van een doeltreffendere en meer op de burger gerichte administratie.
Je me permettrai aussi de partager avec vous ma lecture de la situation à laquelle nous sommes confrontés au sujet du projet Putting Data at the center. Mais je parlerai également, de façon plus globale, d'un certain nombre de projets.
En fait, la Belgique est bien plus digitalisée qu'il n'y paraît. Et dans bien des aspects, nous avons même une véritable longueur d'avance sur d'autres pays. Beaucoup de questions se posent sur le pourquoi de ce projet. Quel était le but? Qui avait ce but? Effectivement, on peut lire, à travers l'histoire législative de notre pays, que ce soit en 2012 ou en 2104, qu'il s'agisse de la loi sur la vie privée en 2018, de la loi "Only Once" ou de la loi sur l'intégrateur, qu'un certain nombre de lois ont été votées ici. Ce n'était peut-être pas par vous directement, mais bien par vos prédécesseurs. Ceux-ci ont fixé un cadre, sur lequel il conviendra de s'interroger, quant à sa précision. Il faudra peut-être aller plus loin, ou être plus précis sur un certain nombre d'éléments. Mais effectivement le pourquoi est clair. Il s'agit de simplifier la vie des gens, d'apporter une vraie réponse, une amélioration à la vie de chacun, en utilisant la digitalisation de l'État. Le pourquoi n'est pas le problème.
C'est le comment qui est la bonne question. Comment le fait-on? Avec quel niveau de transparence, de lisibilité? Avec quel niveau d'accès pour chaque citoyen au fonctionnement même de l'État? Le pourquoi n'est pas le problème, chers collègues, c'est le comment qui est la question. Je pense sincèrement que c'est sur cet élément-là que je dois faire porter mes efforts. Mais je pense que le Parlement doit aussi y consacrer énormément d'efforts.
De digitalisering van de Staat is al lang geleden begonnen. De digitalisering riep niet zoveel vragen op en de digitalisering van processen was meer een taak voor computerwetenschappers en -technici. In de loop der jaren hebben technische behoeften steeds meer juridische vragen doen rijzen. De wetgever heeft een algemeen en misschien soms onnauwkeurig juridisch kader tot stand gebracht. Naar mijn mening kunnen wij terecht vraagtekens plaatsen bij de ethische en politieke rijpheid van deze wetgeving, maar het kader heeft de digitale vooruitgang mogelijk gemaakt.
Aujourd'hui, et singulièrement depuis l'implémentation du RGPD, ou encore plus récemment, le citoyen mais aussi le législateur évoluent dans un cadre beaucoup plus lucide quant aux enjeux des données personnelles dans le cadre de la crise covid-19. Il est probable qu'aujourd'hui, certaines questions se posent d'une manière plus intense ou à tout le moins plus compréhensible qu'elles ne pouvaient se poser dans les années 90. Aujourd'hui, les réponses ne peuvent plus être des réponses de technicien ou de juriste. Nous devons construire des réponses éthiques et politiques qui méritent un débat transparent et public. Chers collègues, le meilleur endroit pour avoir ce débat est cette assemblée.
La meilleure façon de mener ce débat est de rétablir un cadre clair et transparent qui ne fait pas de chasse aux sorcières mais qui identifie, de manière pertinente, tant les processus que les acteurs de la protection des données.
Mon plan est en fait très simple. Tout d'abord, c'est établir une photographie de l'existence, un cadastre de toutes les données personnelles dont l'État dispose sur les citoyens, l'utilisation qui en est faite, par qui, pour quelles raisons et dans quel cadre réglementaire légal. Ensuite, comme cela a été évoqué, c'est donner un accès à nos concitoyens à ce cadastre concernant leurs propres données via une solution ergonomique centralisée.
Je ne vais pas vous mentir. Je ne suis pas un technicien. Mais je sais aussi que les outils dont on parle, que ce soit Putting Data at the center ou d'autres, sont des outils techniques qui, en fonction de la finalité qui leur est attribuée, peuvent tant servir le citoyen que servir à d'autres finalités. C'est pour cette raison que, quand on met en place ce genre d'outils, il doit y avoir une capacité de transparence, de lisibilité, de compréhension de chacune et chacun sur ce qu'on fait de cet outil. Mais la digitalisation n'est pas une fin en soi. C'est un outil pour nos concitoyens. Ce deuxième aspect qui consiste à donner les moyens techniques pour que les citoyens aient un accès à leurs propres données personnelles reprises dans ce cadastre est donc un élément essentiel pour rétablir la confiance de façon fondamentale.
Si on doit réorienter un projet, qu'il s'agisse de Putting Data at the center ou de n'importe quel autre, trouvons les moyens techniques pour le faire! La technologie permet de tout faire. Je sais que derrière ce projet, il y avait cette volonté initiale de simplifier la vie de nos concitoyens.
J'en viens au troisième élément, probablement le plus important et aussi celui qui nous demandera le plus d'échanges, de débats et de réflexion: procéder à une réforme en profondeur du cadre législatif mais également des acteurs qui régissent nos données personnelles, au terme d'une évaluation complète de la loi relative à la vie privée.
Je ne veux pas confondre, chers collègues, vitesse et précipitation. J'entends les demandes sur ce que je vais faire de ceci ou de cela. Je pense qu'il faut prendre le temps d'une véritable analyse, identifier de façon pertinente, dans le cadre de l'évaluation de la loi relative à la vie privée de 2018 que j'ai déjà entamée, la façon de fonctionner de l'APD. Je sais qu'un audit a été demandé par le Parlement pour avoir des informations et une lecture extérieure. Je sais aussi que beaucoup de questions se posent sur le Comité de sécurité de l'information. Je m'en pose également. La loi Only Once doit-elle évoluer dans telle ou telle direction? Nous devons nous poser ces questions de façon sereine.
Je ne veux pas préjuger du résultat avant d'avoir mené cette analyse qui doit se faire de façon totalement dépassionnée et objective. Je peux néanmoins vous dire, et c'est assez évident dans les échanges que nous avons aujourd'hui, que l'enjeu auquel nous sommes confrontés sera de rétablir un juste équilibre entre l'éthique, le juridique et le technique. On peut peut-être imaginer que dans les années 90, le développement de la digitalisation s'est davantage fait sur le plan technique. Le juridique est venu récupérer la sauce et aujourd'hui, les questions politiques et éthiques se posent de façon colossale. On va devoir reprendre la main sur le juridique et le technique devra suivre par rapport aux enjeux qu'on veut développer dans le cadre de cette vision. Quel monde voulons-nous pour demain? Je vous avoue que poser la question, c'est déjà commencer y répondre. C'est la raison pour laquelle, madame la présidente, je suis très ému aujourd'hui.
Je le répète, la gestion des données personnelles et des données de manière générale est un enjeu majeur pour dessiner le monde dans lequel nous voulons vivre demain. À titre personnel, je reste convaincu que le lieu le plus légitime pour dessiner ce monde est bien cet hémicycle et celui de toutes les entités démocratiques de notre pays éclairées de la sagesse de tous les citoyens.
Effectivement, Mme Matz n'est plus là, mais je peux toutefois lui dire que j'ai d'excellentes bottes que j'utilise depuis un certain nombre d'années maintenant. J'ai même des cuissardes, s'il faut aller au turbin. Je peux vous dire que j'y mettrai toute mon énergie et toute ma motivation.
01.12 Ben Smeets: Mevrouw de voorzitter, mijn excuses als het dossier te technisch is. Het dossier was opgesteld de dag na het artikel in Le Soir en was bedoeld voor de minister om hem snel een kader te geven van hetgeen waarmee we bezig waren. Ik heb er geen probleem mee dat het is doorgestuurd aan de commissie en de discussie hier voedt, maar het was daar niet voor geschreven, als ik dat mag specificeren. Men spreekt over kwalitatieve onderzoeksjournalistiek, maar het artikel in Le Soir was een amalgaam van elementen die samen gesmeten zijn en ik kan dat artikel niet onderschrijven.
De vraag naar de vaccinatieproblematiek werd verscheidene malen gesteld. Mogelijk is een van de problemen net dat er een aantal authentieke bronnen ontbreekt in ons landschap. Wij hebben vandaag geen authentieke bron om onze burgers snel te contacteren. De keuze daartoe moet door politici worden gemaakt. Ik laat die discussie graag aan u over. Hoe dan ook kunnen wij de burger niet snel convoceren, als wij geen authentieke bron hebben met contactgegevens. Wat dat betreft, worden we geconfronteerd met een spanningsveld van verschillende wetgevingen. Ik dank u om de discussie ter zake hier in het Parlement te voeren, want die is de voorbije jaren te weinig aan de orde geweest, terwijl dat wel moest. We werken graag mee aan die discussies, daarom zijn we hier vandaag ook om op uw vragen te antwoorden. De burger heeft recht op transparantie. Wij willen daar graag aan meewerken. Het is een moeilijk verhaal, maar als we het hier niet krijgen uitgelegd, krijgen we het waarschijnlijk ook niet aan de burger uitgelegd.
Wat de controles en audits betreft, wij staan voortdurend onder controle. Wij hebben op dit ogenblik een viertal audits lopen van de Federale Interne Auditdienst. Die rapporten worden volgende maand aan de minister bezorgd. Er is wel degelijk toezicht. Onmiddellijk na het artikel heeft ook de Gegevensbeschermingsautoriteit ons uitleg gevraagd over heel het project en de aanpak. Wij hebben ook een dossier met de nodige bijlagen bezorgd aan de directeur van de Gegevensbeschermingsautoriteit. Men volgt dat wel degelijk op. Ook voor punctuele dossiers overleggen wij regelmatig met de Gegevensbeschermingsautoriteit, zowel formeel als informeel.
Dan kom ik aan de vragen over het Informatieveiligheidscomité. Ik wil toch beklemtonen dat de leden allemaal benoemd zijn door het Parlement. Het dossier om nieuwe leden aan te stellen, is reeds een tijdje hangende. Wij hebben er reeds herhaalde malen op aangedrongen. Het gaat hier dus niet over mensen uit de administratie. Het Informatieveiligheidscomité telt twee kamers: één voor de sociale zekerheid en de gezondheid en één voor de federale overheid. Wanneer nodig, hebben zij samen in een verenigde kamer zitting. Belangrijk is dat de leden van het Informatieveiligheidscomité de experts zijn die helpen om een brug te slaan tussen de technische omgeving en de juridische discussie. Het gaat immers over een veelheid aan wetgeving.
Laat het duidelijk zijn dat wij geen enkele verwerking doen zonder wettelijke basis. Die wettelijke basis zit echter verspreid over alle mogelijke wetgeving die er in België is. Natuurlijk, elke Belg wordt geacht de wetgeving te kennen, maar het wordt soms moeilijk. Het Informatieveiligheidscomité helpt ons om onze weg daarin te vinden, om een gemeenschappelijk kader te creëren en om ervoor te zorgen dat het correct wordt toegepast en opgevolgd.
Op basis van benchmarks hebben wij vastgesteld dat wij in België een hoge maturiteit hebben op het vlak van digitalisering en technische bouwstenen, maar dat wij heel snel achteruitgaan op het vlak van implementatie. Wij hebben nood aan duidelijkheid. Dat is een uitdaging voor morgen, die wij nu niet mogen laten liggen. Enkele jaren geleden stonden wij nog op de derde plaats in de Digital Economy and Society Index (DESI) van Europese landen. Vandaag staan wij reeds op de negende plaats. En het gaat heel snel bij technologische ontwikkelingen.
Smals is hierin betrokken als een van onze leveranciers. Wij hebben een stuk van onze infrastructuur staan bij Smals, waarvoor wij ook betalen. Dat wordt met concrete contracten afgedekt. Er is een initiële voorstelling geweest van het project Putting Data at the center aan onze collega's van Smals. Of de heer Robben daarvan rechtstreeks of onrechtstreeks op de hoogte is, kan ik niet bevestigen. Ik stel voor, zoals de heer Geens zei, om het hem zelf te vragen. Hij kan daarop het beste antwoorden. Wij overleggen dus wel en Smals is een van de partijen, waarmee wij regelmatig contact hebben.
Het ging daarbij vooral om BEST, een authentieke bron. Het betreft een authentieke bron van open data die in een samenwerkingakkoord is gegoten tussen alle overheden in België. Alle parlementen en de ministerraad hebben dat goedgekeurd. Als men dan nu zegt dat hierop geen controle is, dan vind ik dat wat te ver gaan. Het gaat immers over open data, officiële adresgegevens in België.
Er was inderdaad interesse van Fost Plus en KBC. Het ging echter puur om het adressenbestand als open data, daar zitten geen persoonsgegevens in. Ook bedrijven zoals bpost waren daarin geïnteresseerd. We hebben een enorm potentieel, als we in België eindelijk eens kunnen afspreken wat onze adressen zijn en hoe we die correct toepassen. Ook in het economisch leven helpt het enorm, als men een referentie heeft voor de adressen.
De finaliteit van elke verwerking is heel helder en wordt gedocumenteerd. De wettelijke basis is aanwezig en moet gedocumenteerd zijn, vooraleer de uitwisseling in productie kan worden gesteld. Als er twijfel is, vragen we het advies van het Informatieveiligheidscomité. Al die adviezen en machtigingen worden ook gepubliceerd op zijn website, iedereen kan die dus op elk ogenblik consulteren. We werken trouwens aan een register dat beter consulteerbaar is om die spaghetti verder te ontwarren.
Onze eerste en oorspronkelijke wettelijke basis is de wet houdende de dienstenintegrator. Die is in 2012 na verschillende discussies in het Parlement goedgekeurd. Ze geeft heel duidelijk aan wat de dienstenintegrator kan en mag doen. Op dit ogenblik passen wij geen algoritmes toe op de verwerking van de gegevens. We werken in het kader van AI for Belgium, een samenwerking met privébedrijven voor het concretiseren van een Europees ethisch charter, ook voor de Belgische omgeving, aan het helder en duidelijk vooropstellen van een aantal principes. We zijn echt vragende partij om de transparantie over het huidige gebruik nog te verbeteren.
Al die uitleg is op onze website te lezen. Het kan wel zijn dat de burger moeite heeft om zijn weg daarin te vinden en dat wij een en ander moeten versterken. Indien de huidige discussie daarbij kan helpen, willen wij ze graag voeren.
Wij werken aan tooling. Voor de eigen gegevens is er al tooling beschikbaar. Wij stellen de tools ook ter beschikking van andere overheidsdiensten. Vandaag heeft elke authentieke bron immers als opdracht een verwerkingsregister te creëren en bij te houden.
Voor de burger gaat het om een massa aan gegevens. Alleen al voor de FOD BOSA komen wij op dit ogenblik uit op 470 verwerkingen, waarvan er nu 400 zijn gedocumenteerd en gevalideerd. De zeventig andere verwerkingen zijn voor de komende weken.
Als burger daarin zijn weg vinden, is echter niet evident. Daarom kan een centrale toegang tot alle registers zeker helpen. De doelstelling is immers een efficiënte en effectieve overheidsdienst leveren middels de digitalisering maar niet ondanks alles.
Ik hoop dat ik aldus op de meeste vragen heb kunnen antwoorden.
De voorzitster: Zijn er nog collega's die willen repliceren?
01.13 Cécile Thibaut (Ecolo-Groen): Madame la présidente, nous sommes rassemblés aujourd'hui autour d'un incident et d'un éclaircissement au sujet du dossier "Putting Data at the Centre". Le ministre nous a annoncé en plénière qu'il suspendait le dossier, malgré une note assez fournie.
Dans les documents, on nous apprend que c'est une demande qui a été introduite à la Commission européenne dans le cadre du plan de relance Smart Data Services. Quelle est l'intention du ministre par rapport à ce projet? Je ne l'ai pas entendu sur le sujet et j'aimerais qu'il s'exprime. Le projet est-il suspendu ou va-t-il reprendre? Les éléments nous font penser qu'il s'agit d'un incident et que les choses vont continuer. Je n'ai entendu aucune affirmation du ministre en ce sens.
01.14 Mathieu Michel, secrétaire d'État: Je pensais avoir été clair dans ma réponse. Des projets ont été déposés au niveau du PRR, notamment un projet qui s'appelle Unleashing Data et qui vise à travailler sur les data dans le cadre strict du RGPD et qui vise à voir comment on peut rendre davantage utilisables les données, notamment les données ouvertes.
Pour le projet "Putting Data at the Centre", dès la parution de l'article du journal Le Soir, j'ai dit au Parlement que je viendrais exposer les éléments techniques du dossier. Je pense que nous avons tous pu en prendre connaissance. Je vous confirme qu'à ce stade, ma priorité est de rétablir la transparence et la confiance.
Toute l'énergie doit être mise en œuvre en utilisant les aspects techniques pour permettre de rendre la donnée au citoyen. Je ne peux pas être plus clair: aujourd'hui, nous devons rétablir la transparence.
01.15 Christoph D'Haese (N-VA): Mijnheer de staatssecretaris, ik dank u voor de verduidelijkingen, maar het Parlement blijft een beetje op zijn honger zitten. Als wij vandaag een ding hebben geleerd, is het dat wij absoluut meer moeten bezig zijn met dit debat, zowel op Vlaams, federaal als Europees niveau. Ik onderschrijf het betoog van collega Geens op dat punt zeker.
Mijnheer de staatssecretaris, wij moeten een antwoord krijgen op de vraag hoe u de parlementaire controle in dit essentiële debat ziet. Evolueren wij naar een halfjaarlijkse monitoring en hoe kunnen de parlementaire vragen daaraan worden gekoppeld? Dat lijkt mij heel belangrijk, want op geen enkele manier mogen wij de authenticiteit van de discussie over de authentieke bronnen missen. Het tijdstip is nu overduidelijk, dus ik vraag u een heel duidelijke kalender en modus operandi: hoe zullen de volksvertegenwoordigers er volledig de controle over kunnen uitoefenen die meer dan essentieel is?
Er is al ongelooflijk veel gezegd over een non-artikel, want het is vandaag duidelijk geworden dat het artikel in Le Soir eigenlijk geen artikel is. Ik heb het als apocalyptisch omschreven. Het is de plicht van het Parlement om de heer Robben hierover te horen in een rechtschapen sfeer, met elementen à charge et à décharge. Ik wil benadrukken dat ik op geen enkel moment afbreuk heb willen doen aan de essentiële verdienste die er is geweest, maar u moet alles duidelijk contextualiseren. Het is niet meer dan normaal dat wij de betrokkene horen in het Parlement, zodat hij concrete antwoorden kan geven op bepaalde vragen. Ik vind het goed dat u al meedeelt dat er contacten zijn geweest met die bepaalde vzw – dat is een operationeel gegeven dat u meedeelt –, maar het is evenzeer een publiek gegeven dat de betrokkene lid is van die vzw, dus hij zal wellicht zelf aan het Parlement willen zeggen in hoeverre dat compatibel of incompatibel is. Ik heb daar niets verkeerds mee gezegd, ik zeg dat in volstrekte neutraliteit.
Ik vind wel dat wij de kans moeten nemen om de betrokkenen te horen en ook om het debat verder te voeren. Wij moeten wetgevende initiatieven beginnen uit te werken, want dit is een meer dan urgent debat.
01.16 Kris Verduyckt (Vooruit): Mijnheer Smeets, ik wens van uw aanwezigheid gebruik te maken om u nog twee vragen te stellen.
Volgens mijn lezing gaat het om een project waarbij wij de burger meer vat willen geven op zijn data en dus een duidelijker overzicht willen geven van de data waarover de overheid beschikt. Is mijn lezing van het project op die manier correct?
U zegt dat bedrijven zoals KBC geïnteresseerd zijn in die adressen, weliswaar losgekoppeld van persoonsgegevens. Wat is voor KBC het voordeel of waarom kan het voor KBC interessant zijn om enkel te beschikken over adresgegevens, zonder dat er persoonsgegevens aan gekoppeld zijn? Kunt u dat nader duiden?
Voor het overige dank ik u voor uw antwoorden, want u hebt best veel antwoorden gegeven op de vragen die ik heb gesteld.
01.17 Koen Geens (CD&V): Mijnheer de staatssecretaris en mijnheer Smeets, bedankt voor uw toelichting en uw antwoorden. Sta me toe duidelijk te maken dat ik alleen maar fiat lux verlang, transparantie op dit niveau, en dat de schaduwoorlog die via de pers gevoerd wordt, eindigt.
Verschillende privacyorganen worden door het Parlement aangestuurd en benoemd. Volgens mij is het belangrijk om met die organen tot een verhouding te komen vergelijkbaar met het Comité I en het Comité P. Het wordt de hoogste tijd dat wij ons in die richting bewegen. Wij vergaderen wel soms achter gesloten deuren, maar de deuren zijn hier nooit volledig gesloten, zoals ik stilaan wel weet. Echter, zo open als ze hier staan, heb ik ze zelden geweten. Het is dus bijzonder essentieel om dit debat naar binnen te trekken. Het Parlement is in dit debat niet onschuldig. Wij spreken over die organen alsof zij ons niet raken en alsof zij totaal buiten ons staan, zodat een hoge ambtenaar ons moet komen uitleggen dat wij eigenlijk zelf instaan voor de benoeming, maar verzuimd hebben dat te doen. Ik zou soms niet graag op zijn stoel zitten.
Mijnheer de staatssecretaris, u zult getuigen en alle parlementsleden zullen getuigen dat ik mij op dat vlak totaal neutraal heb gehouden. Ik heb met genoegen gehoord dat u denkt aan een evaluatie van de wet van 2018, die in de wet weliswaar was vastgelegd, wat ik ook wel weet.
Wij mogen niet vergeten dat die wet heel recent is. In de mate waarin ik dit heb kunnen vaststellen van op mijn stoeltje van Justitie, is de wet, zoals dat in zwangerschapstaal wordt genoemd, met de ijzers gehaald.
Mevrouw de voorzitster, en u mag dat weten, ik heb de meest gepassioneerde uitlatingen gehoord van leden van de meerderheid dat die wet untouchable was.
Mijnheer de staatssecretaris, ik ben neutraal. Ik wou de wet wel behouden zoals ze was. Het is een enigszins moeilijke wet, om het beleefd uit te drukken, maar ik heb op elk moment gesteld dat de wet voor mij perfect mocht blijven zoals ze was.
Mijnheer de staatssecretaris, u wil er nu voor gaan en de wet grondig evalueren en wijzigen. Als dat zo is, dan had ik dat graag geweten, zodat ik dat ook aan andere leden van de meerderheid, die uw mening kennelijk niet waren toegedaan, kan mededelen als het standpunt van de regering.
De voorzitster: Er resten nog enkele vragen.
Mijnheer de staatssecretaris, misschien kunt u eerst antwoorden. Mijnheer Smeets, u had ook nog enkele vragen te beantwoorden.
01.18 Mathieu Michel, secrétaire d'État: Madame la présidente, chers collègues, il est important d'établir les rôles de chacun.
J'entends que le gouvernement doit jouer son rôle. En tant que secrétaire d'État, j'estime que les choses sont assez simples pour ce qui concerne l'évaluation de la loi Vie privée puisqu'elle est prévue dans la loi elle-même. Je ne fais donc que m'y soumettre, monsieur Geens.
01.19 Koen
Geens (CD&V): (…)
01.20 Mathieu Michel, secrétaire d'État: Dans la note de politique générale que j'ai présentée en commission, et qui a été soumise au Parlement, je mentionne bien l'évaluation de la loi Vie privée qui doit avoir lieu dans un délai de trois ans, sachant que cette loi date du 30 juillet 2018. Je pense donc pouvoir dire que nous arrivons à l'échéance.
On ma demandé comment j'allais procéder et comment on allait améliorer, le cas échéant, cette législation. Le premier acte posé a été de mettre en place un comité de pilotage constitué de quatre universitaires neutres et indépendants qui vont procéder à cette évaluation. Je compte bien – je veux rester prudent quand il s'agit de délais – vous présenter un rapport cet été sur la loi en question. Cela permettra aux parlementaires de faire le travail nécessaire en vue d'améliorer ce qui peut l'être. Voilà pour ce qui concerne le travail en cours. Ensuite, il appartiendra au Parlement d'agir.
Pour ce qui concerne la transparence liée au travail qui est le mien à l'heure actuelle, je pense ne pas être le seul à devoir travailler sur la problématique. Il est important de bien s'en rendre compte. Je vous rappelle que je réponds, tous les mois, à vos questions dans cette commission. C'est aussi le contrôle parlementaire qui s'exprime. D'ailleurs, après ce débat, nous passerons à d'autres questions. Je suis donc toujours disponible, et c'est toujours avec beaucoup de plaisir et avec le souci d'une totale transparence que je réponds aux questions qui me sont posées.
En résumé, le travail parlementaire s'exerce via les questions parlementaires. Par ailleurs, l'évaluation de la loi Vie privée sera un moment très important et on procédera à cette évaluation de la manière la plus efficace possible. En tout cas, c'est de cette façon que je compte travailler.
Je pense que j'ai répondu aux questions qui m'ont été posées.
01.21 Ben Smeets: Het eerste doel blijft de gegevensuitwisseling te organiseren op een gestandaardiseerde en interoperabele manier, maar dat kan alleen als dat ook transparant is voor alle betrokkenen. De registers die we nu aan het opbouwen zijn, zijn net gebaseerd op de gegevens van de loggings en audits die we bijhouden van alle gegevensuitwisseling. De bedoeling is om daarop een venster te zetten voor de burger zelf, zodat hij bijvoorbeeld voor de laatste zes maanden kan consulteren wie wanneer welke gegevens geconsulteerd heeft, met welk doel en op welke wettelijke basis. Het vormt een geheel, waarbij het ene niet zonder het andere kan. Zonder transparantie kunnen we die uitwisseling ook niet organiseren, maar het blijft een moeilijk gegeven om dat goed te communiceren vandaag.
De meerwaarde van zo'n adressenbestand is ergens een officieel referentiebestand te hebben. Vandaag maken alle Gewesten hun referentiebestand van adressen. Dat betekent dat we in België op dit ogenblik werken met drie verschillende bestanden, met drie verschillende normen, met andere technische karakters. We proberen die onder een globale koepel te zetten, zodat alle overheden dat bestand kunnen consulteren en zodat bijvoorbeeld ook een bedrijf kan consulteren of het om een bestaand adres gaat wanneer iemand dat verklaart. Dat doet ook bedrijven zoals bpost onmiddellijk heel veel tijd winnen. Daar is op dit ogenblik geen privégegeven aan verbonden. Het is nodig om het volledige datamanagement, de datagovernance en het kader van metadata verder op elkaar af te stemmen om te vermijden dat elke overheid met haar eigen kader werkt. Deze beweging gebeurt vandaag in overleg.
De voorzitster: Als er geen verdere replieken zijn, kunnen wij deze gedachtewisseling hierbij afsluiten. Wij zullen na de paasvakantie de heer Robben uitnodigen.
Ik dank u, mijnheer Smeets.
We gaan verder met de mondelinge vragen aan de staatssecretaris.
L'incident est clos.
- Peter De Roover aan Annelies Verlinden (Binnenlandse Zaken en Institutionele Hervormingen) over "Het MB betreffende de coronamaatregelen en de verwerking van persoonsgegevens" (55013019C)
- François De Smet aan Alexander De Croo (eerste minister) over "De gegevensverwerking ingevolge het ministerieel besluit van 12 januari 2021" (55013134C)
- Julie Chanson aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "Het gebruik van persoonsgegevens door de RSZ in de strijd tegen het coronavirus" (55013503C)
- Kattrin Jadin aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "De gegevensinzameling in de context van de gezondheidscrisis" (55014547C)
- Peter De Roover à Annelies Verlinden (Intérieur et Réformes institutionnelles) sur "L'arrêté ministériel sur les mesures anti-covid et le traitement des données à caractère personnel" (55013019C)
- François De Smet à Alexander De Croo (premier ministre) sur "Le traitement des données dans l’arrêté ministériel du 12 janvier 2021" (55013134C)
- Julie Chanson à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "L'utilisation des données personnelles par l’ONSS en vue de lutter contre la covid" (55013503C)
- Kattrin Jadin à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "La collecte des données dans le contexte de la crise sanitaire" (55014547C)
De voorzitster: Mevrouw Jadin heeft zich afwezig gemeld. Mevrouw Chanson is evenmin aanwezig.
02.01 Peter De Roover (N-VA): Mevrouw de voorzitter, de vraag was oorspronkelijk gesteld aan minister Verlinden. Enkele onderdelen zullen ongetwijfeld beantwoord kunnen worden door de staatssecretaris, andere waren specifiek gericht aan de minister van Binnenlandse Zaken. Ik betreur toch een beetje deze verschuiving.
Het gaat over het corona-MB en de verwerking van persoonsgegevens. Dit MB van 12 januari verlengde de coronamaatregelen tot 1 maart – de indiening van de vraag situeert zich in een andere tijd dan nu – en bevatte een bepaling die de RSZ verregaande bevoegdheden verleent om, ten behoeve van alle diensten en instellingen belast met de strijd tegen het coronavirus en het toezicht op de maatregelen, gezondheids- en andere persoonsgegevens van alle werknemers en zelfstandigen te verzamelen, samen te voegen en te verwerken, met inbegrip van data mining en data matching. Dat alles met het oog op het ondersteunen van het opsporen en onderzoeken van clusters en collectiviteiten.
De RSZ mocht tevoren ook al data verzamelen, maar slechts ten behoeve van de contactcentra, gezondheidsinspecties en mobiele teams. De bedoeling zou nu zijn dat de RSZ van Sciensano te weten kan komen wie besmet is en wie uit de rode zone in het buitenland terugkeert, zodat de gezondheidsinspecteurs kunnen vermijden dat deze mensen via hun werk het virus verder verspreiden. De doelstelling is nobel, maar de bepaling is volgens privacy-experten erg vaag. Wat betekent dat precies, data mining en data matching? Over welke gegevens gaat het precies? Uiteraard had deze bepaling via wet en niet via MB ingevoerd moeten worden, zeker gezien de draagwijdte. Het verplichte advies van de Gegevensbeschermingsautoriteit (GBA) werd niet gevraagd. En de experten zijn vooral bezorgd over de verruiming van de bepaling naar "alle diensten en instellingen".
Vandaar mijn vragen aan u.
Om welke reden werd er geen advies van de GBA gevraagd omtrent de wijzigingen die het ministerieel besluit van 12 januari aanbracht aan het ministerieel besluit van 28 oktober? Zal de gewraakte bepaling worden ingetrokken in afwachting van een eventueel alsnog te vragen advies van de GBA?
U kunt dat misschien moeilijk beantwoorden, want u bent niet de auteur van dat MB, maar u zult wellicht contact met de minister hebben gehad. Voor welke concreet beoogde gegevensverwerking was of is de gewraakte bepaling bedoeld?
Uw collega van Volksgezondheid liet via zijn woordvoerder weten dat de maatregel bedoeld zou zijn om de controle op het respecteren van de quarantaineregels op de werkplaats door de sociale inspectiediensten te ondersteunen. Klopt dat? Welke gegevens zouden op die manier worden verwerkt?
Bestaat de mogelijkheid dat er boetes worden uitgeschreven op basis van verzamelde en/of verwerkte gegevens?
Mijn vijfde vraag over de pandemiewet vervalt om evidente redenen. Daarover wordt op dit moment elders in dit Huis met de minister van Binnenlandse Zaken gediscussieerd.
Ik dank de staatssecretaris voor de antwoorden die hij in naam van de minister wil geven.
02.02 François De Smet (DéFI): Monsieur le secrétaire d'État, ce fameux arrêté du 12 janvier 2021 met en œuvre de manière directe un processus de traitement de données pour le moins intrusif et sans annonce préalable. C'est ainsi que l'ONSS est désigné en qualité de sous-traitant de toutes les institutions et services chargés soit de lutter contre la propagation du covid-19, soit de veiller au respect des obligations mises en place pour limiter ladite propagation, de collecter ou de combiner toute une série de données en matière de santé publique, de contacts, de résidence de travailleurs tant salariés qu'indépendants, en vue de soutenir le traçage et l'examen des clusters.
D'une part, il faut constater que cette disposition ne fait l'objet d'aucune justification dans les considérants précédant le dispositif de l'arrêté ministériel. D'autre part, un avis préalable de l'Autorité de protection des données aurait été le bienvenu sans préjudice de l'urgence de la mesure.
Par conséquent, monsieur le secrétaire d'État, pouvez-vous me faire savoir quelle est la justification liée à cette mission confiée à l'ONSS en termes de gestion et de traitement de données personnelles en matière de lutte contre le covid-19? Pourquoi l'arrêté ministériel ne comporte-t-il pas de considérants permettant d'éclairer cette mission? Pourquoi l'Autorité de protection des données n'a-t-elle pas été saisie d'une demande d'avis?
02.03 Staatssecretaris Mathieu Michel: Mevrouw de voorzitster, geachte leden, het ministerieel besluit van 12 januari 2021 is inderdaad aangenomen zonder het advies van de Gegevensbeschermingsautoriteit. Ik had erop gewezen dat er voor dit ministerieel besluit een advies diende te worden ingewonnen, zoals dat overigens het geval is voor elke regelgeving die gevolgen kan hebben voor de verwerking van persoonsgegevens.
In dit geval moest echter onmiddellijk en snel worden gereageerd, maar ik laat mijn collega van Binnenlandse Zaken verder op dit debat ingaan.
Sur la question du transfert de données vers l'ONSS, je tiens à souligner qu'il ne peut avoir lieu qu'en soutien des autorités chargées de la lutte contre la propagation du covid-19, et ce, dans le cadre de la réalisation de leurs missions légales. En le faisant, l'ONSS agit comme sous-traitant de ces autorités et doit donc respecter leur cadre légal ainsi que le RGPD.
Aujourd'hui, je reste persuadé que l'adoption de mesures en urgence doit pouvoir se reposer sur un cadre réglementaire robuste et transparent. C'est une des leçons que nous devons tirer à travers cette pandémie et qui a poussé le gouvernement à adopter un avant-projet de loi Pandémie, qui est actuellement discuté au Parlement.
Bien qu'imparfait pour certains, cet avant-projet de loi Pandémie va, selon moi, dans le bon sens. Lors des discussions au sein du gouvernement, j'ai œuvré afin de garantir le plus de transparence possible par rapport au traitement des données dans le cadre d'éventuelles futures pandémies.
Par cet avant-projet, entre autres, la question de la protection des données se place au cœur du débat démocratique et je m'en réjouis. C'est une véritable volonté de ma part de ramener ce débat ici. Je pense que vous l'avez compris.
L'APD a été consultée pour cet avant-projet de loi et estime qu'il est nécessaire que le Parlement se prononce sur chaque mesure et chaque traitement de données. Cette recommandation est actuellement à l'examen au sein du Parlement. En tant que démocrate, je ne peux qu'y souscrire. Je vous remercie.
02.04 Peter De Roover (N-VA): Ik zal beginnen met het goede nieuws: ik ben blij dat de staatssecretaris als democraat onderschrijft dat het debat meer in het Parlement moet worden gevoerd. Ik mag hopen dat hij in dezen spreekt in naam van de hele regering.
Ik vind het wel sterk dat ik vragen stel aan de minister van Binnenlandse Zaken en die dan worden verwezen naar de staatssecretaris, die dan weer in zijn antwoord zegt dat hierover de minister van Binnenlandse Zaken moet worden bevraagd. Bij dezen is het perpetuum mobile uitgevonden, wat natuurlijk een interessant nieuws is voor uw collega van Energie. We hebben dan geen kerncentrales en zelfs geen gascentrales meer nodig, we stellen gewoon een parlementaire vraag en de ronde kan energie opwekken voor het hele land wellicht. Alle gekheid op een stokje, dit is niet ernstig. Als ik een vraag stel aan de minister van Binnenlandse Zaken en zij speelt die door, dan kan het antwoord niet zijn dat ik mij moet richten tot de minister van Binnenlandse Zaken.
Ten tweede, mijnheer de staatssecretaris, er ligt een voorontwerp van pandemiewet neer. U hebt het ongetwijfeld heel druk en u hebt de werkzaamheden van de commissie en van de experten niet kunnen volgen, onder meer van de Gegevensbeschermingsautoriteit. Als u zegt dat dit ontwerp in de bon sens gaat, in de goede richting, dan kan ik u zeggen dat ongeveer alle experten kipkap hebben gemaakt van het ontwerp zoals nu ingediend, met als meest verstandige suggestie om artikel 6 er gewoon uit te schrappen, omdat het niet amendeerbaar is vanuit het oogpunt dat u zo belangrijk vindt, de verdediging en bescherming van de privacy. Dit debat hoort inderdaad plaats te vinden au coeur de la démocratie. Ik ben begonnen met goed nieuws en ik eindig met iets waarover ik het met u eens ben, maar het tussengedeelte van mijn repliek zou de regering tot nadenken moeten stemmen.
02.05 François De Smet (DéFI): Monsieur le secrétaire d'État, je vous remercie de votre réponse, bien qu'elle ne me satisfasse qu'à moitié. Je ne pense pas que l'urgence aurait empêché la présence de considérants valables dans cet arrêté ministériel ni la possibilité de consulter l'Autorité de protection des données. Soit!
Vous reconnaissez entre les lignes les limites de l'exercice et renvoyez au débat actuel sur la loi Pandémie. Nous aurons en effet l'occasion d'en reparler dans une autre salle de réunion. Je vous remercie néanmoins d'avoir traité cette question.
L'incident est clos.
03 Vraag van Kris Verduyckt aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "TikTok" (55014502C)
03 Question de Kris Verduyckt à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "TikTok" (55014502C)
03.01 Kris Verduyckt (Vooruit): Mevrouw de voorzitster, mijnheer de staatssecretaris, ik maak mij wat zorgen over TikTok en ik ben niet alleen, ik ben in goed gezelschap. Test Aankoop en 16 andere Europese consumentenorganisaties legden een klacht neer bij de Europese Commissie. Zij willen vooral dat TikTok een veilige omgeving biedt voor zijn gebruikers.
Wij weten allemaal over welke gebruikers het dan gaat. Vandaag is de ondergrens bij TikTok 13 jaar, maar in de praktijk blijkt dat veel kinderen die gebruiksvoorwaarden omzeilen en dat bijzonder veel kinderen op dat forum zitten. Zij worden daar geconfronteerd met inhoud die niet geschikt is voor kinderen jonger dan 13 jaar. Ik denk dan aan de voorbeelden die wij kennen, de zelfmoordfilmpjes en dergelijke die op dat forum te zien zijn. Ik vind dat wij ons daarover echt zorgen moeten maken. Het kan niet dat onze kinderen met dergelijke beelden geconfronteerd worden.
In Italië is daaruit een hele zaak voortgevloeid, naar aanleiding van de zelfmoord van een meisje. Garante, de Italiaanse versie van de Gegevensbeschermingsautoriteit, oefende druk uit op TikTok. Het gevolg is dat het Chinese bedrijf alle Italiaanse accounts heeft geblokkeerd en dat mensen pas terug op het forum konden op het moment dat ze konden aantonen dat ze ouder waren dan 13 jaar. Men heeft daar ook een knop toegevoegd, die mensen kunnen gebruiken als ze vermoeden dat een bepaalde gebruiker jonger is dan 13 jaar.
Hoe gaat België daarmee om? Hebt u de GBA hierover gecontacteerd? Bent u zelf zinnens stappen hierin te zetten?
Ik vind dat de bescherming van kinderen en jongeren op het internet voor ons allen een prioriteit zou moeten zijn.
03.02 Staatssecretaris Mathieu Michel: Mevrouw de voorzitster, mijnheer Verduyckt, ik heb in de pers vernomen dat Test Aankoop, samen met 15 andere consumentenorganisaties, een klacht heeft ingediend bij de Europese Commissie en de gegevensbeschermingsautoriteiten. Zoals u vermeld hebt, hebben consumentenverenigingen een aantal grieven tegen TikTok met betrekking tot de transparantie van zijn algemene gebruiksvoorwaarden en zijn beleid inzake de bescherming van minderjarigen tegen verborgen reclame en met betrekking tot hun persoonlijke gegevens.
Wat het eerste aspect betreft, de doorzichtigheid van de algemene gebruiksvoorwaarden, lijkt het erop dat het beheer van de persoonsgegevens, de overdracht van de gegevens aan derde landen en de rechten van de betrokkenen met betrekking tot hun gegevens niet in overeenstemming zouden zijn met de Europese regelgeving inzake gegevensbescherming. Het leidt geen twijfel dat TikTok, voor zover het diensten aanbiedt binnen de Europese Unie en gegevens verzamelt in Europa, moet voldoen aan de GDPR.
De klacht sluit aan bij vele eerdere klachten tegen TikTok en wordt momenteel onderzocht in coördinatie met alle gegevensbeschermingsautoriteiten binnen het Europees Comité voor gegevensbescherming. Er is voor die kwestie een werkgroep opgericht. Onze Gegevensbeschermingsautoriteit volgt de kwestie op de voet en pleit voor een gemeenschappelijke Europese aanpak van TikTok. Dat lijkt mij inderdaad de juiste aanpak. De gelijke onderzoeken tegen internationale giganten worden het beste op grote schaal gevoerd, met name op het Europese niveau.
Wat het tweede aspect betreft, de specifieke bescherming van minderjarigen tegen verborgen reclame en persoonsgegevens, het is juist dat de Italiaanse autoriteit voor gegevensbescherming op 22 januari 2021 voorlopige maatregelen tegen TikTok heeft getroffen door een verwerkingsverbod op te leggen totdat de leeftijd van de gebruiker afdoende kan worden gecontroleerd. Het gebruik van TikTok door kinderen jonger dan 13 jaar is namelijk al enige tijd verboden, maar TikTok heeft daarop geen controle uitgevoerd.
Naar aanleiding van het besluit van de Italiaanse autoriteiten heeft TikTok vanaf 9 februari alle Italiaanse accounts geblokkeerd. Men staat alleen de terugkeer van gebruikers toe die aan de hand van hun geboortedatum kunnen aantonen dat zij ouder dan 13 jaar zijn.
Onze GBA kon mij geen gegevens bezorgen over het gebruik van TikTok door minderjarigen onder de 13 jaar in België. Niettemin is zij in gesprek met onder meer de Italiaanse en (…) toezichthoudende autoriteiten om ervoor te zorgen dat voor alle burgers in de EU een uniforme bescherming kan worden verkregen.
03.03 Kris Verduyckt (Vooruit): Mijnheer de staatssecretaris, ik dank u voor het antwoord. Ik begrijp dat de GBA niet over die gegevens beschikt, maar ik denk dat we allemaal weten dat veel kinderen op dat platform zitten.
Het is goed dat u zegt dat er GDPR-gewijs toch een en ander niet in orde is. Op zich kan ik een gemeenschappelijke Europese aanpak ondersteunen.
Ons land kan daarnaast ook altijd zelf een signaal geven. Dat is wat Italië nu doet. Ons land heeft dat ook al gedaan op het vlak van mensenrechten en dierenrechten. Wij hebben soms bepaalde wetgeving goedgekeurd die ervoor heeft gezorgd dat er in andere Europese landen of het hele continent veranderingen zijn gebeurd. Dat is belangrijk.
In ons Parlement is er ook een adviescomité dat zich over wetenschappelijke vraagstukken buigt, waar een resolutie in de maak is waarin aan de regering wordt gevraagd om extra aandacht te hebben voor de bescherming van kinderen op sociale media. Dat is vooral de boodschap die ik vandaag wil meegeven. Dat is het belangrijkste in deze kwestie. Wij zullen hierop nog terugkomen.
Het incident is gesloten.
De voorzitster: De vragen nr. 55014934C en nr. 55015186C van mevrouw Kattrin Jadin worden omgezet in schriftelijke vragen.
04 Question de François De Smet à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "Le traitement des données médicales des patients belges en Russie" (55015772C)
04 Vraag van François De Smet aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "De verwerking van de medische gegevens van Belgische patiënten in Rusland" (55015772C)
04.01 François De Smet (DéFI): Monsieur le secrétaire d'État, Le Soir révélait ce lundi que les données médicales des patients belges étaient transférées à et traitées par Smart Analytics, un sous-traitant du conglomérat américain 3M, dont les bureaux sont localisés en Russie.
On se demande bien pourquoi des données aussi sensibles concernant une grande majorité de nos concitoyens se retrouvent accessibles dans un pays comme la Russie, bien moins scrupuleux que nous sur les questions de protection des données.
Ainsi, on nous explique d’abord que c’est un problème de monopole d’une entreprise privée sur un logiciel hospitalier indispensable – ce que je trouve déjà assez interpellant – mais en plus, que les contrats conclus entre nos hôpitaux et 3M seraient des passoires parce qu’un nombre appréciable de nos données médicales se retrouvent, au bout du compte, à la merci des autorités russes. Quel rôle joue le RGPD dans tout ça? Probablement aucun.
Aujourd’hui, 3M est seulement considéré comme sous-traitant, ce qui limite considérablement sa responsabilité. Cela signifie qu’en cas de pépin, c’est la responsabilité de nos hôpitaux qui pourrait être engagée. On comprend dès lors, au vu des enjeux, que cette affaire ait fini sur le bureau des fédérations du secteur, qui n'ont pas vraiment souhaité engager la discussion.
En conséquence, monsieur le secrétaire d’État, étiez-vous au courant que nos données de santé sont traitées en Russie? Si oui, depuis quand? Quelles mesures avez-vous prises pour garantir que les contrats entre nos hôpitaux et 3M soient conclus en conformité avec le RGPD? Avez-vous demandé un audit de l’Autorité de protection des données sur les différents contrats conclus? Dans la négative, envisagez-vous de le faire? Sinon, pourquoi?
Estimez-vous, à l’instar de certains, que 3M n’est qu’un sous-traitant et que sa responsabilité doit dès lors être limitée? Étant donné le monopole de fait détenu par 3M et les montants exorbitants mobilisés par l’État belge pour son utilisation, ne considérez-vous pas, comme le directeur général de Santhea, que notre pays devrait développer son propre logiciel de classification, à l’instar de l’Allemagne par exemple?
Enfin, envisagez-vous de suivre la recommandation de la Cour des comptes, qui préconise l’achat d’une licence d’utilisation nationale du logiciel, laquelle permettrait à la fois de réduire les coûts et de limiter le nombre de négociations individuelles au profit d’une seule négociation nationale?
04.02 Mathieu Michel, secrétaire d'État: Monsieur le député, la qualification de 3M en tant que responsable de traitement ou de sous-traitant requiert une analyse des faits. Or je ne dispose et ne peux légalement pas disposer de telles informations, étant donné que l'examen de ce dossier relève uniquement de la compétence de l'Autorité de protection des données, voire des cours et tribunaux.
Je tiens toutefois à repréciser le cadre de mes compétences en matière de protection des données. Leur caractère transversal exige de fait la clarté aussi bien sur les acteurs, les institutions que les processus. Il ne m'appartient donc pas de contrôler ou de juger de la finalité de l'utilisation des données, qui relève de la compétence des ministres fonctionnels.
Dans le cadre qui nous occupe, je me permets de vous rappeler les règles en vigueur. Le RGPD autorise les responsables de traitement à recourir à des sous-traitants qui s'occupent de données à caractère personnel pour le compte du responsable du traitement, pour autant qu'ils présentent des garanties suffisantes pour répondre aux exigences du RGPD.
Le contrat avec le sous-traitant doit donc définir l'objet et la durée du traitement ainsi que sa nature et sa finalité, tout en déterminant les personnes autorisées à traiter les données à caractère personnel dans le respect de la confidentialité. Il en va de même quand le responsable de traitement recourt aux services d'un sous-traitant situé dans un pays hors de l'Union européenne. Dans ce cas, il doit s'assurer que ce pays offre un niveau de protection des données substantiellement équivalent reconnu par la Commission européenne.
À défaut de niveau de protection des données équivalent reconnu par la Commission européenne, le responsable du traitement doit passer avec le sous-traitant un contrat qui offre les garanties appropriées. Pour ma part, je suis bien conscient des risques que représentent les flux transfrontaliers en dehors de l'Union européenne en termes de respect de la protection des données. Ainsi, les conditions pour considérer qu'un pays offre un niveau substantiellement équivalent ou qu'un contrat offre des garanties appropriées, ont été largement et récemment durcies par la Cour de justice de l'Union européenne. Le développement d'outils techniques au sein de l'Union européenne, mais également le développement d'un logiciel de classification propre à la Belgique, pourraient éventuellement atténuer les risques. Toutefois, dans l'immédiat, j'insiste sur l'importance de travailler, au niveau de l'Union européenne, au renforcement des conditions juridiques pour l'autorisation des flux de données vers des pays qui offrent un niveau de protection équivalent à celui de l'Union européenne. Je vous remercie.
04.03 François De Smet (DéFI): Je vous remercie, monsieur le secrétaire d'État, pour votre rappel des balises, malgré la limitation de vos compétences. Pour le reste, je vais analyser plus profondément votre réponse avant de revenir vers vous dans ce dossier.
Het incident is gesloten.
05 Question de Cécile Thibaut à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "La compatibilité du logiciel OASIS avec le RGPD" (55015790C)
05 Vraag van Cécile Thibaut aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der Gebouwen) over "De OASIS-software en mogelijke inbreuken op de AVG" (55015790C)
05.01 Cécile Thibaut (Ecolo-Groen): Madame la présidente, monsieur le secrétaire d'État, ma question concerne le logiciel Oasis. Ce programme, en fonction depuis plus de quinze ans, permettrait de centraliser de nombreuses données personnelles issues de différentes bases de données d'administrations publiques afin de détecter les fraudes sociales.
Selon mes informations, la création de ce logiciel n'a jamais fait l'objet d'aucun débat public. Aucune loi ni arrêté royal n'a jamais sanctionné la légalité de son existence. Ceci pose un problème juridique puisque tout porte à croire qu’un tel traitement des données personnelles soit en infraction avec le RGPD. Mais cela pose aussi et surtout un problème démocratique puisqu'il n’existe aucun moyen de contrôler la manière dont fonctionnent les algorithmes utilisés.
Ce logiciel serait prochainement remplacé par un nouveau programme développé par l’entreprise Deloitte Consulting appelé "Big Data Analytics Platform".
Monsieur le secrétaire d’État, que pensez-vous de l’utilisation qui est faite des données personnelles par le logiciel Oasis? Pouvez-vous nous assurer que les algorithmes utilisés n’opèrent pas de manière biaisée ou discriminatoire?
05.02 Mathieu Michel, secrétaire d'État: Madame la présidente, madame la députée, je tiens de nouveau à préciser que, de façon générale, la finalité du traitement ne relève pas de ma compétence, mais bien de celle du ministre fonctionnel. Il en va de même dans le cas relatif au projet Oasis (Organisation anti-fraude des services d'inspection sociale).
Selon les informations qui m'ont été communiquées, ce projet a pour objectif de permettre à l'État de mieux lutter contre la fraude sociale au niveau des employeurs. Il vise à générer, sur la base des algorithmes, des signaux qui permettent aux inspecteurs de mieux cibler leur contrôle. Ces algorithmes sont indépendants des secteurs d'activités sous-jacents.
L'utilisation d'Oasis n'engendre aucunement des décisions automatiques dans la mesure où des données de citoyens sont nécessaires dans le cadre des objectifs de ce projet. Leur numéro d'identification unique est pseudonymisé. La création d'Oasis reposerait sur un cadre juridique déterminé, à savoir les lois organiques des différentes institutions publiques de sécurité sociale concernées et les législations en matière de droit du travail, plus précisément le Code pénal social.
Lors de la mise en œuvre de la plate-forme, dont les logiciels sont en partie open source, les institutions de sécurité sociale ont réalisé une analyse des risques détaillée afin de tenir compte des divers aspects de protection de la vie privée.
Dans ce cadre, la Commission de la protection de la vie privée a recommandé l'adoption d'une base légale spécifique afin de mieux encadrer juridiquement ce type d'opérations. Pour ce faire, la loi du 15 janvier 1990 organique de la Banque Carrefour de la sécurité sociale a été modifiée afin de prévoir une base légale spécifique visant à permettre aux différents services d'inspection sociale ainsi qu'aux différents services appliquant des amendes administratives en matière sociale de collecter, combiner et traiter toutes les données nécessaires aux fins de l'application de la législation concernant le droit du travail et de la sécurité sociale.
Pour ma part, ce dossier pose à nouveau la question d'un cadre juridique et démocratique clair. Aujourd'hui, il est nécessaire de ramener de la lumière sur ces plates-formes de bases de données et de rétablir la confiance auprès du citoyen. Cette mise en lumière passe inévitablement par, comme je l'ai déjà évoqué, un cadastre des bases de données et un accès clair pour chaque citoyen à ses propres données. Cela doit évidemment se faire en collaboration avec cette assemblée.
05.03 Cécile Thibaut (Ecolo-Groen): Monsieur le ministre, merci pour votre réponse. Effectivement, vous n'êtes pas le ministre fonctionnel, mais votre réponse prend en compte les préoccupations auxquelles je pensais. Au-delà de cet accès pour le citoyen, je pense qu'il faut aussi une publicité des algorithmes. Il faudra travailler dans ce sens.
L'incident est clos.
De openbare commissievergadering wordt gesloten om 15.16 uur.
La réunion publique de commission est levée à 15 h 16 heures.