|
Commission de la Justice |
Commissie
voor Justitie |
|
du Mardi 27 avril 2021 Matin ______ |
van Dinsdag 27 april 2021 Voormiddag ______ |
De openbare commissievergadering wordt geopend om 10.19 uur en voorgezeten door mevrouw Kristien Van Vaerenbergh.
La réunion publique de commission est ouverte à 10 h 19 et présidée par Mme Kristien Van Vaerenbergh.
01 Project 'Putting Data at the Center' - hoorzitting met de heer Frank Robben, gedelegeerd-bestuurder van Smals vzw.
01 Projet 'Putting Data at the Center' - audition de Mr. Frank Robben,
administrateur délégué de l’asbl Smals.
De voorzitster: Wij houden vandaag een hoorzitting over het project Putting Data at the Center. Wij hebben in dat kader al de staatssecretaris gehoord.
Vandaag is de heer Robben aan de beurt.
Er wordt een Integraal en Beknopt Verslag opgemaakt van deze vergadering. De heer Robben heeft heel veel slides, dus we kunnen onmiddellijk beginnen. Ik geef u graag het woord. Nadien is er uiteraard ruimte voor de leden om vragen te stellen en een debat daarover te houden.
01.01 Frank Robben: Mevrouw de voorzitster, ik dank u voor de uitnodiging. Ik zal mij houden aan de voorziene spreektijd voor de inleiding en ik heb heel wat zaken op slides gezet, om de details te verduidelijken.
U weet dat ik al meer dan 30 jaar bezig ben met het uitbouwen van informatiesystemen bij de overheid, met oog voor de veiligheid en de privacy. Om te beginnen wil ik even toelichten welke visie we daarbij hanteren om vervolgens aan te geven welke functies ik heb. Daarna zal ik het hebben over twee belangrijke instellingen die ik heb mogen opstarten, de Kruispuntbank van de Sociale Zekerheid en het platform eHealth. Ik zal tevens aangeven hoe we het evenwicht waarover ik het in de visie zal hebben proberen te realiseren. Ook het informatieveiligheidscomité zal kort aan bod komen. Als er nog andere thema's zijn die u graag behandeld wil zien, dan heb ik de slides daarvoor klaar.
De visie die ik altijd gehanteerd heb is dat men in de Grondwet en in het algemeen verschillende grondrechten heeft. Men heeft onder andere recht op bescherming van de persoonlijke levenssfeer, op sociale bescherming, op kwaliteitsvolle gezondheidszorg en op een eerlijk proces. Er bestaat geen hiërarchie tussen die grondrechten en het komt er dus op aan ze allemaal te realiseren in een goed evenwicht. Ik kan hier voorbeelden genoeg van geven, ook uit de strijd tegen COVID-19. Men moet steeds een evenwicht zoeken tussen de gezondheidszorg en een goede evolutie van de volksgezondheid enerzijds en aspecten zoals privacybescherming en gegevensbescherming anderzijds.
Dat houdt in, wanneer we informatiesystemen maken om andere grondrechten goed te ondersteunen, dat er van bij het begin maatregelen genomen moeten worden. In de GDPR heet dat gegevensbescherming by design and by default, zodanig dat men wel de voordelen heeft en de nadelen niet. Er dienen dus preventieve maatregelen genomen te worden, want problemen worden best voorkomen. Daarnaast moet permanent gemonitord, gecontroleerd worden, dat die maatregelen dan ook correct worden toegepast. Die principes staan de jongste jaren in de GDPR. Het Parlement heeft die goedgekeurd in 1990 bij de opstart van de Kruispuntbank van de Sociale Zekerheid; daar staan al die maatregelen eigenlijk al in. Nu zijn er data protection officers, DPO's, voorzien. In de sociale sector bestaat dat al sedert 1990, toen wij met die systemen begonnen zijn. Dergelijke zaken vindt men in de huidige teksten dus terug.
Hoe hebben wij dat in de sociale sector en in de gezondheidssector toegepast? De gegevensopslag hebben wij maximaal gedecentraliseerd, dus geen grote centrale gegevensbanken met persoonsgegevens. De gegevens blijven bij de instellingen van sociale zekerheid en blijven bij de zorgverstrekkers. Enkel als het nodig is, worden de gegevens uitgewisseld, op een veilige manier. Vooraleer de gegevens uitgewisseld kunnen worden, vindt een controle plaats door een onafhankelijk orgaan, dat al sedert 1990 bestaat, multidisciplinair samengesteld en benoemd door het Parlement, om op voorhand na te gaan of die uitwisseling relevant is, rechtmatige doelstellingen dient, proportioneel is en op een veilige manier tot stand komt.
Daarvan kan ik talrijke voorbeelden geven. Een arts die de patiënt kwaliteitsvol wil kunnen behandelen, moet uiteraard informatie hebben over de vroegere gezondheidstoestand van de betrokken patiënt, maar artsen die geen zorgrelatie hebben met die patiënt, moeten niet aan die gegevens kunnen.
Instellingen van sociale zekerheid moeten ervoor kunnen zorgen dat afgeleide rechten toegekend worden. Iemand die recht heeft op een gehandicaptentegemoetkoming en daardoor recht heeft op een sociaal tarief voor gas, elektriciteit, water en openbaar vervoer wil die rechten automatisch krijgen, en niet door met tal van papiertjes te moeten bedelen bij al die instanties. Die instanties die die afgeleide rechten toekennen, zoals een gas- of elektriciteitsleverancier, moeten echter niet in detail weten wat dat sociaal statuut is. Ze moeten gewoon weten of die persoon recht heeft op dat sociaal tarief of niet.
Die afwegingen van wat nodig en relevant is en wat niet moet kunnen, worden gedaan door het multidisciplinair informatieveiligheidscomité. Het is belangrijk dat dat multidisciplinair is, aangezien zowel de materie gekend moet zijn als de basisprincipes inzake gegevensbescherming en best ook iets van ICT en informatieveiligheid. Er kunnen immers ook organisatorische of ICT-technische maatregelen genomen worden om dat goed te beschermen, zonder de voordelen, zonder de toegevoegde waarden aan banden te leggen op een nodeloze manier. Zowel de Kruispuntbank van de Sociale Zekerheid als het eHealthplatform zijn eigenlijk zelf geen gegevensbanken. Het zijn clearinghouses die bij de concrete uitwisseling van gegevens ervoor zorgen dat er nagegaan wordt of aan de voorwaarden is voldaan, na de machtiging van het informatieveiligheidscomité. De methode voor die aanpak is risicoanalyse. Er moet worden gekeken wat er zou kunnen misgaan, kijken wat moet worden vermeden en die risico's goed beheren. Nu staat er als data privacy impact assessment een methode of een middel om dergelijk risicobeheer te doen.
Hoever gaan we in de formele wetgeving, in detail, in het preciseren van een aantal zaken? Het is natuurlijk van groot belang dat het voldoende precies, transparant en voorspelbaar is wat er met gegevens kan en mag gebeuren. Wanneer mensen gegevens ter beschikking stellen, of dat nu in de publieke of private sector is, moeten ze weten wat daarmee zal gebeuren.
Anderzijds is de regelgeving moeilijk te wijzigen. Die evolueert maar moeizaam. Als men dus een heel gedetailleerde regelgeving ontwerpt, dan riskeert men dat technologische en sociale evoluties nodeloos worden afgeremd. Daar kan ik u straks desgewenst voorbeelden van geven. Hetzelfde gebeurt nu met de coronacrisis. Als Sciensano een databank met de testresultaten aanlegt en clusterbestrijding en contactonderzoek behoren tot de doelstellingen, en men komt op een bepaald moment in een situatie dat bepaalde tests – sneltests of zelftests – niet via de laboratoria verlopen terwijl er in de regelgeving staat dat de inzameling via de laboratoria gebeurt, dan zit u vast. De vraag is dus wat u in de formele regelgeving zet. Hoe gedetailleerd moet die worden? Welke operationele zaken kunnen aan uitvoeringsmaatregelen worden overgelaten?
Het volgende punt is van groot belang bij het hele informatiesysteem, zowel bij de ontwikkeling als bij de werking ervan. Er zijn een aantal hoge principes. Een daarvan is dat er een scheiding van functies is. Het is nooit goed dat de persoon die een systeem ontwikkelt datzelfde systeem ook operationeel maakt. Functies moeten worden gescheiden, in alle organisaties. Ondanks het feit dat ik er een aantal leid, is dat een heel belangrijk principe. Ook dat kan ik toelichten.
Op een website heb ik dat in detail uitgeschreven. Dat kunt u daar nalezen, maar samenvattend wil ik stellen dat er wat mij betreft vier evenwichten moeten worden gezocht. Ten eerste, een evenwicht tussen de verschillende grondrechten. Ten tweede, hoe heb ik de toegevoegde waarde wel en de risico's niet? Ten derde, hoe maak ik de zaken transparant en voorspelbaar in voldoende precieze regelgeving, maar vermijd ik dat wetenschappelijke, sociaal-economische of technologische evoluties niet kunnen worden gebruikt om de zaken te laten evolueren? Een vierde punt ten slotte, waar ik tot nu toe wat minder op ben ingegaan, is de responsabilisering van de verwerkingsverantwoordelijke versus rechtszekerheid.
Het is duidelijk dat wanneer gegevens inzake gezondheid worden uitgewisseld tussen zorgactoren, dit best vercijferd gebeurt. Er is geen enkele arts die zal weten of men daarvoor een elliptic-curvevercijferingsalgoritme of een RSA-algoritme moet gebruiken en of deze versleuteling 1024 bits of 2048 bits moet zijn om veilig te zijn.
Als men specialisten van het Informatieveiligheidscomité niet laat nagaan wat veilig genoeg is en die diensten aanbiedt, riskeert men, want de verrekeningsverantwoordelijke heeft de verantwoordelijkheid als er iets fout gaat, dat die angst heeft en gegevens niet deelt. En dat is ook niet goed. Als ik naar een huisarts ga, die neemt bloed en stuurt mij door naar een reumatoloog, dan heb ik graag dat die reumatoloog ook direct het resultaat van het bloedonderzoek heeft. Die uitwisseling moet veilig kunnen gebeuren. Het is dan ook goed dat artsen weten dat als ze dat systeem op die manier gebruiken, dat correct en veilig is.
Dat is het evenwicht dat wij proberen te zoeken in alles dat wij doen. Dat is niet altijd gemakkelijk. Het Informatieveiligheidscomité heeft daarin ook een zeer belangrijke rol. De instrumenten om dat te doen, zoals ik reeds zei, zijn de volgende. Er is de methode van risicobeheer. Er is het beoordelen van het gegevensbeschermingseffect. Er is het inbakken van preventieve maatregelen, bijvoorbeeld gegevens niet-centraal opslaan maar alleen, voor zover nodig, gegevens laten uitwisselen op een veilige manier. Transparantie kan in regelgeving, maar kan ook op tal van andere manieren, ik zal daarvan straks voorbeelden geven. Zeker moet er een multidisciplinaire benadering zijn.
Ook heel belangrijk, alle instellingen die ik heb mogen opstarten, worden allemaal beheerd door vertegenwoordigers van de datasubjecten, door de mensen over wie gegevens worden uitgewisseld. Bij de Kruispuntbank van de Sociale Zekerheid zijn dat vertegenwoordigers van werknemers, zelfstandigen en ondernemingen. Bij eHealth zijn dat vertegenwoordigers van ziekenfondsen, zorgverstrekkers en zorginstellingen. Zij bepalen mee wat er kan uitgewisseld worden in welke gevallen en hebben daar een permanente controle op. Dat zijn systeemmaatregelen, systeemwaarborgen, ongeacht wie aan de leiding staat.
Het is heel belangrijk dat er medebeheer is van de belanghebbenden bij het uitwerken van de systemen, omdat in dat geval het evenwicht goed zal worden bewaakt. Dat was de visie.
Ik heb rechten, ICT en computer auditing gestudeerd. Ik ben door een eindwerk dat ik als student heb gemaakt, toevallig in overheidsdienst gekomen. Dat eindwerk ging over het idee van de Kruispuntbank Sociale Zekerheid, waarmee ik een wetenschappelijke prijs heb gewonnen. Daardoor ben ik gevraagd om dat concept uit te werken, wat ik ook heb gedaan Sedert 1990 leid ik die instelling.
Een aantal zaken hangen daarvan af, zoals het deel uitmaken van het Gebruikerscomité en dies meer. Dat hangt samen met die functie.
In 2008 is mij gevraagd hetzelfde te doen in de gezondheidssector. Er staat in de regelgeving dat de leidende ambtenaar van de Kruispuntbank Sociale Zekerheid ook het eHealth-platform coördineert.
Om u een idee te geven, de Kruispuntbank Sociale Zekerheid wordt door ongeveer 85 mensen beheerd. Voor het eHealth-platform zijn dat er zowat 40. Dat zijn vooral ICT'ers, die systemen op een veilige manier bouwen en de processen organiseren, tegen het licht houden en optimaliseren vooraleer wij ze invoeren.
Een derde functie die ik heb, houdt verband met de openbare instellingen van sociale zekerheid, die verenigd zijn in de vzw Smals. Die vzw bestaat al sinds 1939. Smals is oorspronkelijk de afkorting van Société de Mécanographie pour l'Application de Lois Spéciales. Ze was opgericht om samenaankopen te doen in de tijd van mechanografisch materiaal.
Ik maak nu een enorme sprong. Toen ik eind jaren tachtig werd gevraagd de Kruispuntbank vorm te geven, heb ik vastgesteld dat de overheid nauwelijks aan ICT'ers geraakte en dat er ook weinig mondigheid was inzake informatiebeheer bij de instellingen van sociale zekerheid. Iedereen hing sterk vast aan één constructeur. Dat waren toen nog mainframes en dure machines met lock-in op het vlak van software.
Er was geen systeem om goed (…) services uit te bouwen. U moet weten dat in de overheid, zeker bij de FOD, wanneer een instelling een dienst aan een andere levert en daarvan inkomsten krijgt, die inkomsten naar de Schatkist gaan en niet naar de werkingsmiddelen van die instellingen.
Dat bevordert niet direct samenwerking, want men werkt voor iemand anders, maar krijgt er niets voor terug. Wij hebben een aantal keer geprobeerd om dat bij te stellen, maar dat is niet gelukt. Men heeft mij gevraagd of er geen andere oplossing is en zo zijn wij toen de vzw Smals beginnen te gebruiken om enerzijds aan IT'ers te geraken en anderzijds om gebruik te kunnen maken van gedeelde diensten, want gedeelde diensten, met onder andere hergebruik van diensten maken het voor iedereen veel goedkoper. In de wet op de Kruispuntbank is dan een bepaling ingeschreven die de openbare instellingen van sociale zekerheid machtigt om dergelijke samenwerkingsverbanden aan te gaan.
Het bestuursorgaan van de vzw die alleen bestaat uit openbare instellingen van de sociale zekerheid en geleidelijk aan ook FOD's, is samengesteld uit topmensen van de verschillende leden. In 2004 heeft men mij gevraagd om daar gedelegeerd bestuurder van te zijn gezien mijn kennis over ICT-systemen. De functies hebben dus eigenlijk allemaal betrekking op eenzelfde materie, namelijk het uitbouwen van informatiesystemen in de sociale sector en de gezondheidssector, weliswaar gaande van het bedenken van die systemen en het uitbouwen van goede architecturen tot het aansturen van mensen die dat operationaliseren. Ongeveer de helft van de mensen van Smals is permanent in dienst van de verschillende openbare instellingen van sociale zekerheid. Zij werken ook onder de inhoudelijke aansturing van die instellingen. Een van de dingen die ik belangrijk vond, was dat de instellingen zelf mondig moesten zijn inzake de principes inzake informatiebeheer. In de sociale sector werkt men vooral met informatie, in de gezondheidsector werkt men – naast de patiënt – vooral met informatie en dus is het van belang dat men goed nadenkt hoe men het informatiebeheer op een efficiënte manier kan doen.
Tot slot ga ik in op mijn lidmaatschap van het Kenniscentrum van de Gegevensbeschermingsautoriteit. Ik ben daar al heel lang lid van sinds er nog sprake was van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer.
Toen die werd aangepast aan de GDPR, heb ik mij weer kandidaat gesteld voor het Kenniscentrum. Men heeft mij daar benoemd in 2019. Bij mijn kandidaatstelling heb ik uitdrukkelijk ook mijn andere functies vermeld. Ik heb ook de verklaring ondertekend inzake het vermijden van belangenconflicten. Wanneer er door het Kenniscentrum advies moet worden gegeven over zaken waarbij ik betrokken ben, geef ik dat ook aan.
Ik wil er ook op wijzen - daar is veel om te doen geweest - dat de AVG niet verbiedt dat iemand met een ambtenarenstatuut of een openbaar mandaat lid is van een toezichthoudende autoriteit. In Frankrijk bijvoorbeeld is in de CNIL 20 % van de mensen actief parlementariër. In Duitsland is de Bundesdatenschutzbeauftragte een vroegere parlementariër Natuurlijk is het van belang dat men, wanneer men die functie uitoefent, belangenconflicten uit de weg gaat. Een belangenconflict is iets anders dan een onverenigbaarheid. Tot zover mijn opmerkingen inzake de visie en mijn functies.
Ik ga nog heel kort in op de Kruispuntbank en het deelplatform. Ik heb mijn uiteenzetting telkens opgebouwd volgens dezelfde structuur. Ik heb dat ook gedaan voor de andere initiatieven die ik doorheen mijn loopbaan heb genomen, als u dat wenst. Wat zijn de doelstellingen van die instellingen of projecten? Wat is het wettelijk kader? Wat zijn de governancestructuren? Ik heb u aangegeven dat ik het zeer belangrijk vind dat er medebeheer is door de datasubjecten – u zult dat overal zien terugkomen – en deftige controle en liefst preventief. Ik zal ook telkens aangeven wat de behaalde resultaten zijn, hoe er transparantie wordt gecreëerd voor de datasubjecten, hoe er aan gegevensvorming bij ontwerp wordt gedaan en telkens ook de erkenning. De meeste zaken die we hebben mogen doen, zijn internationaal erkend. De Kruispuntbank heeft een prijs gekregen van de UNO en van de Europese Commissie en heeft navolging gekregen in andere landen, wereldwijd.
Ik zal dat voor twee instellingen uitleggen.
Wat zijn de doelstellingen van de Kruispuntbank van de Sociale Zekerheid? Dat is ervoor zorgen dat, met respect voor informatieveiligheid en de bescherming van de persoonlijke levenssfeer, de instellingen van de Sociale Zekerheid of van de sociale sector in de ruime zin van het woord, efficiënte diensten kunnen leveren aan burgers en ondernemingen met een minimum aan administratieve lasten en kosten en met optimale processen.
Toen wij begonnen, waren er 800 papieren gegevensstromen, vandaag zijn er 200 elektronische gegevensstromen. Drie van de vier waren niet meer nodig. Wij hebben heel wat gegevensoverdrachten kunnen vermijden, doordat die niet meer relevant waren.
De werkgevers kunnen nu via hun informatiesystemen rechtstreeks contact opnemen met de instellingen van de Sociale Zekerheid op basis van het only-onceprincipe. Wij zamelen gegevens maar één keer in. Dat principe, dat dus al in de sociale sector sinds 1990 werd gevolgd, is trouwens naar andere sectoren uitgedeind.
Wij hebben ook een systeem om beleidsondersteunende informatie ter beschikking te stellen van beleidsvoerders en onderzoekers.
Het wettelijk kader is de wet van 1990. Dat was trouwens de eerste Belgische wet met uitvoerige bepalingen inzake gegevensbescherming. De Belgische wet, in het algemeen, dateert van 1992, maar toen de Kruispuntbank van de Sociale Zekerheid opgericht is, hebben wij een heel pak bepalingen opgenomen.
Ik heb onder andere in Duitsland gestudeerd, aan het Max Planck Institut. Daar is het zeer belangrijk dat als men gegevensuitwisseling organiseert, men vanaf het begin degelijke maatregelen moet nemen inzake gegevensbescherming en informatieveiligheid.
Er is nog een aantal andere wetten of uitvoeringsbesluiten van toepassing. U kunt die allemaal vinden.
Ik heb de organen van de KSZ al aangegeven. Het beheerscomité is samengesteld uit vertegenwoordigers van de datasubjecten, zoals men die noemt. Er is een gebruikerscomité, waar alles wordt voorbereid, en de controle gebeurt door het Rekenhof en door de regeringscommissaris.
Wat de resultaten betreft, ik heb u al gezegd dat omzeggens alle papieren flows weg zijn. Er is een eenmalige gegevensinzameling. Het Federaal Planbureau heeft berekend dat dit elk jaar opnieuw ongeveer 1 miljard euro bespaart aan onnodige, vermijdbare lasten, vooral voor de Belgische economie, maar ook voor de instellingen zelf.
Omzeggens alle uitwisselingen, ook vanuit de werkgevers, gebeuren volledig elektronisch, van toepassing tot toepassing, sedert 2004. Wij telden in 2020 ongeveer 1,4 miljard berichten. Dat zijn ongeveer evenveel papiertjes die worden vermeden.
Zoals gezegd, is er geen centrale gegevensopslag. Wij hebben wel een verwijzingsrepertorium, waarin wordt aangegeven waar welke informatie over wie zit, zodat wij ervoor kunnen zorgen dat enkel instellingen die een relatie hebben met de betrokkenen – dus enkel het eigen ziekenfonds en niet andere ziekenfondsen – toegang kunnen hebben tot die gegevens.
In dat repertorium wordt ook opgenomen welke gegevens in welke gevallen door wie mogen worden geraadpleegd in functie van de beslissingen van het Informatieveiligheidscomité. Het verwijzingsrepertorium wordt ook gebruikt, om bepaalde wijzigingen automatisch mee te delen. Iemand verandert bijvoorbeeld van adres of de gezinstoestand verandert. Automatisch wordt die informatie medegedeeld aan alle instellingen waar een en ander moet geweten zijn, zodat de administratieve lasten worden geminimaliseerd.
Ik herhaal dat vóór de oprichting van de Kruispuntbank iemand die recht had op een gehandicaptentegemoetkoming, gemakkelijk met vijftien papiertjes naar buiten ging en overal moest gaan bedelen voor zijn sociaal tarief. Tenzij de betrokkene dat niet wil en dat aangeeft via opting-out, worden nu die rechten automatisch toegekend en wordt automatisch daarmee rekening gehouden.
Ik kan u tonen dat bijvoorbeeld in het kader van covid heel wat gemeenten, OCMW's en regio's een bijkomende tegemoetkoming hebben gegeven aan langdurig werklozen. Wij hebben zowat honderd van dergelijke toepassingen gehad, die door dat systeem allemaal op een veilige manier zijn uitgewerkt op een paar weken tijd.
Het gaat dus om een netwerkinstelling zonder centrale gegevensopslag. Het is dus een soort kruispunt – vandaar het woord 'kruispuntbank' –, dat ervoor zorgt dat een en ander correct verloopt en ook op voorhand controleert dat alleen de instellingen die een relatie hebben met de betrokkene – alleen het eigen ziekenfonds of de eigen werkloosheidsinstelling –, aan de gegevens kunnen en bovendien alleen aan de gegevens die zijn toegestaan door het Informatieveiligheidscomité.
Het systeem werkt op openbare netwerken met end-to-endencryptie.
U ziet op de slide ook de evolutie. Wij hebben de kosten enorm onder controle kunnen houden. Die systemen zijn 99.9 % beschikbaar. Zij vallen dus niet uit. Zij zijn gestabiliseerd met een verwerkingstijd van 99,9 % binnen de twee seconden. Het werkt dus enorm snel en enorm goed.
Samengevat zijn er lagere kosten en lasten voor iedereen en zijn er ook minder contacten nodig achteraf. Toen wij de multifunctionele aangifte invoerden, de eenmalige inzameling van loon- en arbeidstijdgegevens, bij de ondernemingen in 2004, zat er in de RSZ-aangiften die gebeurden 40 % fouten. Wij hebben de controleprogramma's aan de werkgevers gegeven, zodanig dat zij de kwaliteit konden controleren voordat zij de gegevens doorgaven, en zo is het gezakt naar 2 % fouten. Dat betekent allemaal minder werk voor iedereen achteraf.
De gegevens worden feitelijk ingezameld en kunnen worden gebruikt voor tal van doeleinden, altijd na controle van het Informatieveiligheidscomité, maar het is niet meer zo dat, wanneer iemand werkloos of ziek wordt, de werkgever diezelfde historische looninformatie moet aangeven volgens andere juridische definities. Toen ik begon, moest men om een RSZ-aangifte in te vullen met één loonbegrip, 80 bladzijden lezen om te weten wat erin stond. Vandaag geeft men in de toepassing rechtstreeks elf feitelijke componenten door en het is gedaan. Diezelfde elf componenten kunnen worden gebruikt om de rechten vast te stellen op het ogenblik dat iemand werkloos wordt of weet ik veel wat. Zij moeten niet opnieuw worden ingegeven en geherinterpreteerd in functie van een andere regelgeving, vandaar de administratieve lastenverlaging van meer dan 1 miljard euro per jaar, zoals werd berekend door het Federaal Planbureau. Sedert 2004 zijn die feitelijk gegevens ook niet meer veranderd. Iedereen kan zijn loonbegrip vaststellen in functie van zijn regelgeving, maar de feitelijke componenten die worden ingezameld, zijn dezelfde. Er is stabiliteit en de 220.000 werkgevers moeten hun systeem dus ook niet meer permanent aanpassen.
Het zijn geïntegreerde diensten: een keer een event en men krijgt een keer de informatie. Het is veel sneller. Mensen moeten dus niet meer wachten op hun uitkeringen enzovoort. Dat zijn efficiëntiewinsten, maar er zijn ook effectiviteitswinsten: de sociale bescherming gaat erop vooruit en er is gepersonaliseerde dienstverlening. Ik kan dat dadelijk tonen. U moet maar eens naar de portalen gaan die wij hebben over uw loopbaan en over uw pensioenberekening: u kunt daar simulaties doen. Dat bestond allemaal niet. Mensen kunnen inzake loopbaanonderbreking veel gemakkelijker weten wat de nog openstaande rechten zijn enzovoort. Er zijn minder fraudemogelijkheden, rechten worden automatisch toegekend. Wij kunnen zelfs actief zoeken naar non-take-up van bepaalde rechten. Mensen die hun rechten niet kennen, kunnen wij dus helpen om ze die wel te laten kennen, wat natuurlijk zeer belangrijk is voor mensen in precaire situaties.
Dat zijn allemaal voorbeelden.
Wij werken maximaal transparant. Alle bestaande gegevensstromen, zoals u in het schema ziet, zijn gedocumenteerd en vindt u op één webpagina, zowel de gegevensstromen binnen de sector als van de sector naar buiten voor de afgeleide rechten, en van buiten naar binnen. Burgers hebben – u ziet het in het schema naar boven gaan – een portaal waar zij al hun gegevens bij de instellingen van sociale zekerheid zelf kunnen nakijken en kunnen verbeteren indien nodig, uiteraard met een degelijke authenticatie. Ik was ook betrokken bij de uitwerking van de elektronische identiteitskaart in 2000. De elektronische identiteitskaart is een deftige manier om ervoor te zorgen dat de burgers toegang hebben tot hun gegevens. Hetzelfde geldt voor de ondernemingen.
Aan de gegevensbescherming hebben wij, zoals ik al zei, van in het begin enorm aandacht besteed. Na mijn rechten- en IT-studie heb ik een opleiding gehad over computerauditing en informatieveiligheid; dat was een van mijn eerste opleidingen. Op de gegevensbescherming hebben wij altijd en van in het begin enorm de klemtoon gelegd, maar niet vanuit een ivoren toren. Veiligheid en informatieveiligheid kan niet vanuit een ivoren toren worden georganiseerd, dat moet op het veld gebeuren. De zwakste factor is de mens.
Wij hebben altijd enorm ingezet om, op basis van internationale standaarden, door de aanduiding van informatieveiligheidsconsulenten in de instellingen, door awereness te creëren in de instellingen, ervoor te zorgen dat er op tal van vlakken maatregelen werden genomen. Dat geldt zowel op het vlak van de fysieke veiligheid, datacentersbeveiliging en dergelijke, als de meer logische veiligheid, zoals de ontwikkeling van toepassingen en dergelijke. Veiligheid gaat niet alleen over confidentialiteit, maar ook over beschikbaarheid, want de systemen zullen maar eens uitliggen gedurende een belangrijke periode, over integriteit, want de gegevens mogen niet onrechtmatig gewijzigd kunnen worden, en over non-repudiatie, want naderhand mogen we niet meemaken dat iemand ontkent iets gedaan te hebben. Al die zaken zitten erin. We hebben dat altijd gedaan op basis van oudere normenreeksen. De huidige normenreeks is ISO 27000.
Dat is altijd met een geheel van maatregelen. Ik kan dat niet genoeg beklemtonen. Er moeten structurele maatregelen zijn, bijvoorbeeld geen centrale gegevensopslag en voorafgaande machtiging. Er moeten organisatorische maatregelen zijn, bijvoorbeeld een informatieveiligheidsconsulent die de vinger aan de pols houdt bij alle instellingen en daar awareness creëert over het belang van het naleven van de maatregelen. Men mag zoveel maatregelen op technisch vlak nemen als men wil, als iedereen zijn paswoord op zijn scherm kleeft, is het systeem niet veilig. Er moeten ICT-technische maatregelen en personeelsgebonden maatregelen zijn. Als mensen de dienst verlaten, mogen zij hun toegangsrechten niet behouden. Men is zo zwak als zijn zwakste schakel en er moet geïntegreerd mee worden omgegaan.
Persoonsgegevens worden alleen gebruikt voor doeleinden die toegestaan zijn door de beslissingen van het informatieveiligheidscomité - ik kom daarop straks nog terug - met heel degelijke systemen van toegangscontrole. Alles wordt gelogd. In een goed georganiseerd elektronisch informatiesysteem is het veel beter om preventief en ex-post controle te doen op wie wat heeft gezien, dan met een papieren systeem. U moet maar eens in een groot ziekenhuis rondlopen. Dat heeft een papieren archief dat alleen maar toegankelijk is voor het bevoegde personeel, maar het is niet zo moeilijk om daar binnen te geraken.
Als men dat in een elektronische omgeving doet, laat men overal sporen achter. We hebben een arts gehad die in een ziekenhuis in West-Vlaanderen een dubbele rol had. Hij werkte 's ochtends in het ziekenhuis en 's namiddags voor een verzekeringsmaatschappij. Hij heeft vanuit zijn rol als expert voor een verzekeringsmaatschappij geprobeerd om toegang te krijgen tot een patiëntendossier. Dat is natuurlijk vastgesteld, want er is een logging van. Hij is uiteraard gestraft en er werd met dat bewijsmateriaal geen rekening gehouden. Dat kan men dus veel beter doen in een goed georganiseerde elektronische omgeving.
Vermits de gegevens niet meer altijd bij de mensen worden opgevraagd, is het van belang dat wanneer ze worden gebruikt om een beslissing te nemen, de mensen dat ook weten. Vandaar dat vóór de regelgeving op motivering van bestuurshandelingen er was, er ook in de Kruispuntbankwet was voorzien dat werd meegedeeld dat er informatie werd gebruikt.
Er moeten een interne informatieveiligheidsdienst en recht op toegang zijn. Dat werd allemaal bepaald sinds 1990 en dat zijn allemaal principes die 25 jaar later terugkwamen in de GDPR.
U kunt die minimale veiligheidsnormen die wij hebben lezen. Elk jaar moet elke instelling van sociale zekerheid, sedert 25 jaar, een checklist invullen en aangeven welke minimale veiligheidsnormen er worden gerespecteerd en welke niet en opsturen naar het Informatieveiligheidscomité.
Dat is enorm responsabiliserend. Als men dat verkeerd invult, is dat valsheid in geschriften, zeker wanneer achteraf blijkt dat men die maatregel niet zou hebben genomen. Het is dus een jaarlijkse self-assessment. Dat moet gerapporteerd worden. Die instellingen waar er problemen zijn, worden gecoacht om die maatregelen te nemen.
Ik ga hout vasthouden, wij hebben miljarden gegevensuitwisselingen, maar wij hebben heel weinig klachten en het is zeer transparant voor de mensen. Dat informatieveiligheidsbeleid vindt u ook op de website.
Wij hebben ook meerdere internationale erkenningen voor die zaken gehad.
Voor het eHealth-platform geldt hetzelfde principe. In 2008, op basis van de ervaringen in de sociale sector en nadat we een erkenning hadden van de UNO, heeft men gevraagd om dat ook in de gezondheidszorg te doen. In de sociale sector is de samenwerking verplicht. In de gezondheidssector heb ik gesuggereerd om dat niet verplicht te maken, maar om te werken op basis van toegevoegde waarde.
Er zijn 170.000 zorgverstrekkers. Die zijn allemaal erg autonoom. Ik dacht niet dat het zinvol was om te zeggen: u moet een platform gebruiken. Zorg ervoor dat het platform veilig is en laat zien dat het toegevoegde waarde heeft. We hadden vorig jaar 18 miljard gegevensuitwisselingen. Dat komt uiteraard de kwaliteit en de continuïteit van de gezondheidszorg en de patiëntveiligheid ten goede. Het vereenvoudigt ook de administratieve formaliteiten.
Het principe is dat een zorgverstrekker alleen maar toegang heeft tot gegevens over een patiënt als hij een zorgrelatie heeft met de patiënt. De patiënt zelf bepaalt met wie hij een zorgrelatie heeft. Op basis van de hoedanigheid, als arts, apotheker, kinesist, wordt bepaald welke soort gegevens men mag zien. Een patiënt mag zorgverstrekkers uitsluiten van toegang. Het gebeurt uiteraard ook alleen maar als een patiënt zijn geïnformeerde toestemming tot de gegevens heeft gegeven.
Er zijn vandaag 9,7 miljoen mensen die dat hebben gedaan en dus vertrouwen hebben in het systeem. Nogmaals, dat is niet opgelegd. Het gaat om een organisch gegroeid systeem.
Ik geef twee voorbeelden waar een en ander toe leidt. Toen mijn huisarts mij 10 jaar geleden een bloedonderzoek voorschreef en me doorverwees naar een ziekenhuis voor een gastroscopie of maagonderzoek, dan was ze bij de volgende consultatie eerst 10 minuten bezig met haar computer, eerst om een paswoord in te tikken en in de resultatenserver van het Medisch Centrum voor Huisartsen (MCH) in Leuven het resultaat van mijn bloedonderzoek op te zoeken, vervolgens met een andere code of een apparaatje toegang te vragen tot de resultatenserver van UZ Gasthuisberg om daar het resultaat van mijn gastroscopie te zien en op de koop toe te zoeken waar het precies zat, want dat was uiteraard een ander systeem. Er bleven vervolgens nog 5 minuten voor mij over. Vandaag hoeft ze maar één keer haar elektronische identiteitskaart in het systeem te steken, geeft ze de pincode en heeft ze een agenda openstaan van welke patiënten ze die dag zal zien. Tegen de tijd dat die patiënt er is, heeft ze de documenten op een veilige manier op haar scherm. Ze heeft 1 minuut nodig om de bestanden te raadplegen en heeft dus nog 14 minuten voor de patiënt. Dat is een eerste voorbeeld.
Als ze vandaag bloed prikt en mij doorstuurt naar een reumatoloog, waar ik 2 dagen later een afspraak heb, heeft die reumatoloog ondertussen ook meteen toegang tot de relevante gegevens. Dat geldt overigens enkel voor die zorgverstrekkers die een zorgrelatie met de patiënt hebben.
Wat is daar het wettelijk kader? De wet van 21 augustus 2008 bevat een aantal bindende beraadslagingen van het Informatieveiligheidscomité (IVC). Er moet immers een aantal zaken worden vastgelegd, zoals: hoe wordt een zorgrelatie bewezen? Hoe ziet de toegangsmatrix eruit? Wie krijgt toegang tot wat? Dat is andermaal specialistenwerk, werk van mensen die de materie kennen. Ik ben geen arts en kan dus niet oordelen of het relevant is dat mijn oogarts weet dat ik een maagzweer heb. Het multidisciplinaire karakter en het feit dat de reglementen opgesteld worden door een multidisciplinair team, zijn dus belangrijk. U kunt dat allemaal nalezen op de website. Ook daar gaat het opnieuw over een beheersorgaan, samengesteld uit vertegenwoordigers van de datasubjecten.
Er is controle door een Rekenhof en rekencommissarissen.
U ziet waar we staan. Als een patiënt bij een arts komt waarmee hij een zorgrelatie heeft, kan die arts het relevante medische verleden kunnen opvragen via een Summarised Electronic Health Record. Die arts weet dan welke medicatie die patiënt neemt zodat hij geen medicatie voorschrijft die incompatibel is met andere medicatie. Als een patiënt een negatief effect heeft ondervonden van medicatie in het verleden, weet de arts dat hij niet opnieuw hetzelfde geneesmiddel moet voorschrijven. Dit is zeer actueel met de vaccinaties vandaag. De arts heeft toegang tot de resultaten in de labo's, kan elektronisch verwijsbrieven doorsturen, kan elektronische voorschriften maken en heeft ook ondersteunende systemen. De gegevens staan gestructureerd. Vroeger was dat in vrije tekst. Daar kunnen ondersteunende kennissystemen op worden losgelaten. Als de arts een geneesmiddel wil voorschrijven aan de patiënt, maar uit zijn dossier blijkt een tegenindicatie, of dat de patiënt in het verleden een slechte reactie heeft gehad op dat soort geneesmiddel, met die actieve stof, komt er een pop-up tevoorschijn.
Ook bij het ondersteunend zorgproces wordt men ondersteund met die systemen, bijvoorbeeld op het administratieve vlak. Bij een geïnformatiseerde huisarts gaat u niet meer buiten met een papiertje dat u moet binnenbrengen bij het ziekenfonds om uw geld teruggestort te krijgen. Er wordt automatisch een verslag gestuurd wanneer u naar een wachtarts gaat naar de houder van uw globaal medisch dossier. De artsen moeten geen honderd verschillende registers meer invullen in bepaalde situaties en alles wordt automatisch bijgewerkt. 86,4% van de mensen hebben hun toestemming gegeven. Vorig jaar zijn er 18 miljard gegevens uitgewisseld. Bijna alle huisartsen maken gebruik van het systeem, met een heel veilige end-to-endvercijfering.
Ook voor de ziekenhuizen zijn we bezig om kwaliteitscriteria inzake informatiesystemen geleidelijk aan door te voeren. Ook daar is er transparantie. Alle diensten van het hele platform staan gedocumenteerd. Ook de burger, de patiënt, heeft ondertussen toegang tot heel wat informatie. U steekt één keer uw elektronische identiteitskaart in het systeem en u kan toegang hebben tot uw eigen summary record, uw medicatieschema, de toestand van toediening van vaccinatie.
U kan verklaringen van orgaandonatie invullen en de systemen bij de ziekenfondsen opvolgen. Dat kan allemaal vanuit een portaal, maar zonder centralisatie van gegevens en met een degelijke controle. Ook de zorgverstrekkers hebben daar heel wat diensten beschikbaar, een klein honderdtal.
Zoals gezegd kan dit alleen mits informed consent, alleen tussen mensen die een zorgrelatie hebben met een patiënt en alleen volgens de toegangsmatrix. Ik zal daar niet te diep op ingaan, als u daarover meer informatie wil, dan kan ik u die geven. Wat wij in het eHealthplatform vooral doen, met 35 mensen, is het bouwen van basisdiensten om dat veilig te laten verlopen. Wij maken geen software voor eindgebruikers zoals huisartsen en ziekenhuizen en wij hebben ook geen gegevens centraal in beheer, maar wij zorgen ervoor dat de systemen van toegangscontrole, end-to-endencryptie, elektronisch ondertekenen en elektronisch dateren voorhanden zijn. Als u dat wil, kan ik dat verder toelichten.
Ook daar is er een verwijzingsrepertorium en dus geen centrale gegevensopslag. Hoe werkt dat? Ik woon in Leuven, ga naar de kust en krijg daar een gezondheidsprobleem. Ik ga dan naar een huisarts of de spoedafdeling en die zorgverstrekker of zorginstelling kan vervolgens kijken waar er over mij gegevens beschikbaar zijn. Men kan die dan rechtstreeks daar gaan halen.
Waar zitten die gegevens? Er zijn in België 4 ziekenhuisnetwerken en elk netwerk beheert een verwijzingsrepertorium dat aangeeft bij welke ziekenhuizen uit dat netwerk er informatie beschikbaar is over een bepaalde patiënt. Het geeft ook aan welk klinisch lab erbij betrokken is. We hebben dat in 2 stappen gedaan. Wij hebben namelijk een verwijzingsrepertorium naar de verwijzingsrepertoria. Als ik in Oostende ben en een arts wil weten waar er relevante gegevens beschikbaar zijn om mij goed te kunnen behandelen, dan komt hij bij eHealth terecht. Wij geven dan door dat de gegevens van de betrokken patiënt in het ziekenhuisnetwerk van Leuven zitten. De arts kan vervolgens rechtstreeks naar het ziekenhuisnetwerk van Leuven gaan.
Waarom werken we in twee stappen? We hebben ook daar niet gewild dat er centraal enige aanduiding was van de pathologie van een patiënt. Het ziekenhuis in Melsbroek behandelt namelijk alleen MS-patiënten en het ziekenhuis in Kortenberg alleen psychiatrische patiënten. Als wij zelf rechtstreeks naar het ziekenhuis zouden verwijzen, dan zou men daar iets uit kunnen afleiden. Dat hebben wij niet gewild daarom werkt het systeem in twee stappen, twee trappen.
De verwijzing naar het betrokken ziekenhuis, gebeurt onder de verantwoordelijkheid van een ziekenhuis die het netwerk beheert en de artsen. Wij hebben dan alleen een aanduiding dat iemand gekend is in het netwerk rond Leuven, maar niet of dat in Melsbroek of in Kortenberg is.
Over de kluizen dan. Er zijn sumEHR, electronic health records, samenvattingen van de eerste lijn. De ziekenhuisinformatiesystemen zijn 24/7 beschikbaar. De informatiesystemen van de huisartsen zijn dat niet. Er moest dus een systeem gecreëerd worden waar op een veilige manier de samenvatting van de eerstelijnszorgdossiers bewaard worden. Die zit in die kluizen.
Wij hebben zelfs voor één van die kluizen, die draaien in cloudomgevingen, een patent gekregen voor de beveiliging. Vitalink kan men vergelijken met een bankkluis waar men twee sleutels nodig heeft om er in te geraken. Als men die twee sleutels niet heeft, geraakt men er niet is. Eén sleutel is in handen van het eHealthplatform. Die wordt alleen gegeven als wij nagekeken hebben of het om een zorgverstrekker gaat die een zorgrelatie heeft met de patiënt en de patiënt zijn akkoord gegeven heeft voor gegevensdeling. De tweede sleutel is in handen van een vereniging van patiëntenorganisaties en van zorgverstrekkers, dit om te beletten dat de overheid aan de gegevens zou kunnen zonder akkoord van de betrokkene.
Ook daar is er dus heel veel veiligheid.
Tot slot van mijn inleiding zal ik het hebben over het Informatieveiligheidscomité. Ik hoor daar heel veel over, ik lees daar heel veel over, en ik meen dat daar heel wat misverstanden over bestaan.
U moet weten dat het Informatieveiligheidscomité in concept al bestond in 1990. Ik heb het daarstraks aangegeven, ik ben deels in Duitsland opgeleid, en daar hecht men heel veel belang aan dergelijke grondrechten, ook wegens het verleden. Toen wij de Kruispuntbank van de Sociale Zekerheid uitgebouwd hebben, heb ik van in het begin gezegd dat als men gegevens deelt, men er ook moet voor zorgen dat er een preventieve controle is. Het gaat hier over een grondrecht.
Eind jaren '80 bestond er in België een Raadgevende Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Die hing af van de uitvoerende macht en viel onder het ministerie van Justitie. Zij bestond vooral uit een aantal professoren emeriti, vooral juridisch geschoold, niet multidisciplinair.
Degenen die de Kruispuntbankwet hebben uitgeschreven, een man of drie, vier, vonden dat het over grondrechten ging en dat het een orgaan moest zijn dat bij het Parlement zat. In de Kruispuntbankwet van 1990 is de raadgevende commissie voor de bescherming van de persoonlijke levenssfeer van de uitvoerende macht ondergebracht bij het Parlement. In de schoot daarvan werd toen wat men noemde het Toezichtscomité opgericht, om preventief aan te geven wie welke gegevens in welke situaties met wie mocht uitwisselen, voor welke doeleinden, enkel die gegevens die nodig waren voor die doeleinden, en enkel veilig, met deftige veiligheidsmaatregelen. Ik spreek 1990. Als u dat nu ziet, dat zijn dezelfde principes als die nu in de GDPR staan. Ik lees recent een nieuwe ontwerpverordening van de Europese Unie, waarin het gaat over hergebruik van gegevens: men kiest gelijkaardige systemen in elk land.
Toen de GDPR er kwam, was het duidelijk dat het Toezichtscomité, later sectoraal comité van de sociale zekerheid, naast het toestaan en het regelen van gegevensuitwisseling ook een vormende functie had. Zij organiseren informatieveiligheidsopleidingen voor die informatieveiligheidsconsulenten. Maar het had ook een adviserende, een klachtenbehandelende en controlerende functie. Met de GDPR was het duidelijk dat de adviserende functie, de controlerende functie en de klachtenbehandelende functie niet konden blijven bij een orgaan dat ook machtigingen gaf tot gegevensuitwisseling. Vandaar dat, conform de GDPR, al die opdrachten inzake advies, inzake controle en inzake klachtenbehandeling werden overgeheveld naar de Gegevensbeschermingsautoriteit, die ook bevoegd is voor de sociale en de gezondheidssector, daar is geen discussie over. Het Informatieveiligheidscomité is dus geen toezichthoudende autoriteit in de zin van de GDPR.
Nu laat de GDPR of de Algemene Verordening Gegevensbescherming toe dat lidstaten bijkomende maatregelen kunnen nemen op het vlak van gegevensbescherming.
Dat staat in artikel 6 voor gegevens in het algemeen. Dat staat ook in artikel 9 voor de gevoelige gegevens, waaronder gezondheidsgegevens. Daarin staat duidelijk dat de lidstaten specifiekere bepalingen kunnen handhaven of invoeren of bijkomende voorwaarden kunnen opleggen.
Wat daarin is opgenomen, is dat gegevens maar kunnen worden uitgewisseld in de sociale sector en in de gezondheidssector indien op voorhand is nagekeken dat de uitwisseling relevant is, dat er rechtmatige doeleinden zijn, dat de uitwisseling proportioneel is en dat ze veilig gebeurt.
Het Informatieveiligheidscomité bepaalt dus onder welke voorwaarden die gegevens worden uitgewisseld. Alle taken inzake advies en sanctionering zijn bij de GBA gelegd.
Er blijven dus twee taken over: het verlenen van uitwisselingsmachtigingen en het bevorderen van de informatieveiligheid.
Ik wil nog even verduidelijken wat het Informatieveiligheidscomité niet kan doen.
Het Informatieveiligheidscomité kan geen doeleinden vastleggen of rechtsgronden bepalen waarvoor iemand gegevens mag verwerken. Dat kan het niet doen.
Indien dus bijvoorbeeld de RVA moet weten, om iemand recht te geven op een werkloosheidsuitkering, of de betrokkene niet aan het werk is en daarvoor gegevens nodig heeft voor de RSZ, zal het een regelgeving moeten zijn die van toepassing is op de RVA die maakt dat de RVA die gegevens mag verwerken. De doeleinden van die verwerking moeten in een regelgeving staan.
Ook de RSZ moet een regelgeving hebben, waarin staat voor welke doeleinden die gegevens mogen worden verwerkt.
Indien de RVA echter voor zijn doeleinden gegevens nodig heeft die bij de RSZ beschikbaar zijn, kan hij ze volgens het only-onceprincipe bij de RSZ ophalen. Het is die transactie die wordt geregeld door het Informatieveiligheidscomité.
Wat gaat het na? Heeft de instelling die de gegevens nodig heeft, een rechtsbasis? Heeft de instelling die de gegevens kan verstrekken, een rechtsbasis? Zijn de gegevens proportioneel voor de rechtsbasis en voor de uitvoering van de opdrachten van de ontvangende instelling? Gebeurt de uitwisseling veilig? Dat is wat het comité doet, niet meer en niet minder dan dat.
Natuurlijk gaat het om bindende maatregelen. Wanneer gegevens worden uitgewisseld, moet aan die voorwaarden worden voldaan.
Ik zal u nu een recent voorbeeld geven om aan te tonen dat het soms beter is dit te hebben dan de zogenaamd geïnformeerde toestemming van de betrokkene. Zowat twee jaar geleden hebben wij een vraag gekregen omtrent mensen die al wat ouder zijn en die voor een stuk aan financiële planning willen doen. Voor advies gaan die mensen naar een bank, financiële instelling of verzekeringsinstelling. Die mensen moeten in de pensioendatabank, waar hun rechten inzake wettelijke en aanvullende pensioenen staan, hun informatie opvragen om die vervolgens aan de bank voor te leggen, zodat de bank zich een idee kan vormen van de inkomsten die de persoon zal hebben als hij later gepensioneerd is en hoeveel eventueel al aan de kinderen kan worden doorgestuurd. In plaats daarvan hebben de financiële instellingen gevraagd of zij zelf toegang kunnen krijgen tot bepaalde delen van die gegevens, uiteraard met akkoord van de betrokkene.
Er zijn dan twee mogelijkheden. Een mogelijkheid is dat elke bankinstelling en elke verzekeringsinstelling in kleine lettertjes bepaalt wat zij met die gegevens zullen doen. Daarbij vraag ik mij af hoeveel mensen die lettertjes lezen. Een andere mogelijkheid is om daarrond een bindend rechtskader te maken, dus als een bank die gegevens opvraagt, dan mag ze die enkel gebruiken voor dat doeleinde en voor niets anders. Als de betrokkene bij drie banken advies vraagt, maar toch slechts bij één bank klant blijft, dan moeten de overige banken die gegevens onmiddellijk wissen, ze mogen die informatie voor niets anders gebruiken. Van die voorwaarde kan niet worden afgeweken. De banken mogen dus niet proberen om in de kleine lettertjes, in een soort van toetredingscontract, waar de potentiële klant op klikt, vast te leggen dat zij met die informatie ook andere zaken gaan doen.
Welnu, ik denk dat het veel beter is om in zo'n situatie een systeem te hebben met een bindende beraadslaging, waarvan niet kan worden afgeweken. De betrokkene bepaalt nog altijd zelf bij welke bank hij de gegevensopvraging al dan niet toelaat, door een vinkje aan te duiden. Als dat vinkje aangeduid wordt, dan geldt die regeling, geen andere, al zeker niet iets waar elke bank zijn zaak mee kan doen. Daarmee heb ik de rol van de regelgeving omtrent het IVC toegelicht.
Wanneer het IVC een beraadslaging zou nemen die in strijd is met een hogere rechtsnorm of waarvan de GBA oordeelt dat die niet correct is, dan kan de GBA vragen om die beraadslaging te wijzigen. Die gewijzigde beraadslaging moet dan voor advies worden voorgelegd aan de GBA. Op die manier is het geregeld. Wanneer er zich problemen voordoen, dan denk ik dat het goed is dat dit middel en kanaal worden gebruikt.
Tot slot, in december is er een voorstel gekomen van het Europees Parlement en de Europese Raad inzake data governance voor hergebruik van gegevens. Daarin wordt nu net aangeraden dat elk land, eventueel zelfs sectoraal, een dergelijke instelling maakt.
Er wordt ook geregeld gevraagd of de beslissingen van het informatieveiligheidscomité ongrondwettelijk zijn. Er werd in 2010 een annulatieberoep tegen de eHealth-wet ingediend bij het Grondwettelijk Hof. Men heeft niet het middel van het toenmalig sectoraal comité aangereikt, maar wel de delegatie van bevoegdheden, onder andere naar een aantal organen, besproken. Daar is duidelijk aangegeven dat dit niet strijdig was met de Grondwet en dat die bepalingen voldoende precies waren.
Nog één zaak. Ik heb nog een kort besluit opgesteld. Ik ben zeker bereid om het ook over andere zaken te hebben als u daarover vragen hebt. Er moet mij wel nog iets van het hart. Hoe ziet men in het Parlement de rol en de missie van de Gegevensbeschermingsautoriteit? Is dat een orgaan dat zich bezighoudt met één grondrecht, met name het grondrecht op gegevensbescherming, of is dat een orgaan dat tussen de verschillende grondrechten evenwichten zoekt, zoals ik in het begin heb aangegeven?
Ik denk dat het in elk geval van belang is dat het een collegiaal orgaan is, met een eenheid van visie. Vandaag zijn de standpunten van de verschillende organen niet altijd coherent. Indien die visie van evenwichten wordt gedeeld, dan denk ik dat ik kan helpen. Als die visie niet wordt gedeeld, dan ben ik inderdaad niet de juiste persoon op de juiste plaats.
Ik heb aangegeven dat het IVC, los van de GBA, een belangrijke functie heeft. Het IVC bestaat uit mensen die door het Parlement zijn aangeduid. Dat zijn artsen, juristen en ICT'ers. Wij bereiden daarvoor dossiers voor, maar ik zetel daar niet met stemrecht in.
Er staan ons nog heel wat andere uitdagingen te wachten. Ik heb er hier al een aantal opgesomd, zoals internet of things, wearables, zelfrijdende wagens, big data, artificiële intelligentie en decentrale autonome organisaties die algoritmisch werken en ten opzichte van elkaar optreden in een internetomgeving. Dat zijn voor mij de echte uitdagingen.
Dat zijn allemaal domeinen waar men enorm veel potentieel heeft, maar ook enorm veel risico's en waar men vaststelt dat een aantal digitale reuzen een enorm overwicht heeft, weinig rekening houdt met lokale verzuchtingen en waar klassieke nationale regelgeving en nationale instellingen niet meer zullen volstaan.
Als u het mij vraagt, heeft de AVG één groot probleem. Dat heb ik vooraf ook al gezegd. Ze legt een eenvormige gegevensbeschermingsregeling in Europa op, maar voorziet niet in een Europees handhavingsorgaan. Er bestaat geen Europese privacycommissie. Er is een privacycommissie met 27 voorzitters en het is bekend dat die zaken in bepaalde landen minder streng wordt gecontroleerd: in die landen zullen de bedrijven hun hoofdzetel vestigen.
Het gaat hier om veel meer dan het recht op persoonlijke levenssfeer. Ook onder meer het recht op menselijke waardigheid, vrijheid van meningsuiting, discriminatie, heldere aansprakelijkheidsregelingen en eerlijke processen zijn hier in het geding. Daar ligt volgens mij nog heel wat werk op de plank om te komen tot technologieneutrale, duurzame regelgeving met systeembenaderingen. Ik gaf u voorbeelden hoe we het hebben gedaan in de sociale sector en de gezondheidszorg. Juist in die domeinen zijn systeembenaderingen onontbeerlijk. Er zijn systeemwaarborgen nodig, zoals wij beheerd worden door organen met vertegenwoordigers van de datasubjecten, en met nadruk op designaanpak.
Ik hoop dat ik niet te lang gepraat heb, maar nu hebt u alvast een overzicht. Ook op bijkomende zaken zal ik met plezier ingaan.
De voorzitter: Dank u voor het overzicht, dat verder ging dan het onderwerp waarvoor wij u gevraagd hadden. Bij de vraagstelling herinner ik eraan dat het niet de bedoeling is om vandaag over de werking of rol van de GBA te spreken. In dat verband geldt namelijk de geheimhoudingsplicht, gelet op het feit dat het altijd over persoonsgebonden zaken gaat.
01.02 Christoph D'Haese (N-VA): Mevrouw de voorzitter, ook ik dank de heer Robben. Ik neem de aanbeveling om weg te blijven van de problematiek van de GBA ter harte, aangezien de commissie nog op adviezen in dat verband wacht.
Mijnheer Robben, ik ben onder de indruk; er is zelfs sprake van too much information. Er werden ongelooflijk veel gegevens verstrekt, wat eigenlijk ook de vraag was, vooral vanwege Franstalige commissieleden. Ik ben net als u jurist, ook multidisciplinair, maar geen informaticus. U zult mij vergeven als ik al te triviale vraag stel. Eerst en vooral wil ik u danken voor wat u hebt betekend voor het land en de architectuur van de overheidsdatabanken, waar velen in het buitenland u en ons om prijzen. Dat is voor een groot deel aan u te danken en dat is uw verdienste, die ik bij dezen preliminair zeker wil onderstrepen. Het is passend dat te doen.
Ik keer weer naar het onderwerp en verfijn uw veelvoud aan slides. Waarvoor zijn wij hier vandaag? Alles begint bij een artikel op 10 maart dit jaar in Le Soir, u allicht niet onbekend, over de plannen tot oprichting van een soort van elektronisch kruispunt waarbij alle grote overheidsdatabanken zouden – ik beklemtoon "zouden" – worden gekoppeld. Daardoor zou men aan een soort van dataprofiling kunnen doen.
Smals en u als CEO zouden de initiatiefnemers zijn. Het project zou geheim zijn en niet door een wettelijk kader gedekt zijn.
Ondertussen weten wij wel wat meer, vooral omdat Smals zelf heeft gereageerd. Het project bestaat wel en is niet geheim. Er is wel degelijk een wettelijk kader. Dat wettelijk kader is de wet van 15 augustus 2012. Het heeft andere doelstellingen dan hetgeen in de krant stond, het gaat namelijk over het door Europa opgelegde only-onceprincipe, dat de burger slechts eenmaal gegevens moet overmaken aan de overheid en reeds beschikbare gegevens maximaal worden geëxploiteerd en hergebruikt.
Ondertussen heeft deze commissie een omstandige nota ontvangen van de FOD BOSA en heeft ze ook staatssecretaris Michel gehoord. Die nota van de FOD BOSA is iets technischer dan uw slides, maar heeft natuurlijk iets teweeggebracht. Het lijkt erop dat er geen grenzen overschreden werden inzake de bescherming van de persoonsgegevens. De vrees tot burgerprofilering is ondertussen dus overtuigend ontkracht door alle betrokkenen en ook door staatssecretaris Michel.
De nota is echter dermate technisch dat personen, op basis van die dus wellicht verkeerde berichtgeving, sceptisch of argwanend zijn. Wellicht zijn die mensen ook nog moeilijk uit die positionering weg te krijgen. Er zijn immers wel wat vraagtekens die her en der worden geplaatst. Het is aan u om daarop antwoorden te geven.
Ik heb alleszins een heel concrete vraag aan u. Staatssecretaris Michel en de administrateur-generaal van de FOD BOSA, uw collega de heer Smeets, kondigden tijdens de vorige hoorzitting aan dat een prioriteit in het beleid de uitbouw is van een uniek portaal waar de burger zou kunnen nakijken wie, wanneer, welke gegevens in welke overheidsdatabank heeft ingevoerd, opgevraagd, uitgewisseld, bewerkt.
U bent een crack in uw vak. Wanneer acht u het praktisch haalbaar om dat portaal volledig operationeel te krijgen? Dat is een heel concrete vraag, aansluitend bij de problematiek.
Er is natuurlijk een discussie op gang gekomen die een breuklijn heeft getoond tussen wat ik de Franstalige en de Nederlandstalige vivaldisten durf te noemen. Straks zullen zij dat zelf wel toelichten, denk ik. In het debat draagt u regelmatig een andere pet. Die verschillende petten zijn op zich niet het probleem, maar misschien wel le changement des caquettes, om het in die termen te zeggen. U bent een gewaardeerd schrijver van bepaalde wetteksten. U bent lid van een belangrijk adviesorgaan voor het Parlement. U bent leidend ambtenaar. Als CEO bent u ook nog betrokken bij een van de belangrijkste IT-dienstenleveranciers. Om die reden hebben de Franstaligen blijkbaar geen vertrouwen in u, terwijl vertrouwen bij informatiedeling juist zeer belangrijk is. Voor de Nederlandstalige vivaldisten is de vraag, of de boodschap, in hoeverre het gebrek aan vertrouwen, met bijbehorende vragen en eisen, al dan niet terecht is. Daarover moet, mijns inziens, duidelijkheid worden geschapen.
Hierbij houd ik het; dat zijn mijn eerste vragen. Ik zal uw slides zorgvuldig bestuderen. Ik vond het spijtig dat wij dat niet op voorhand hebben kunnen doen, maar goed, we zullen zeker nog de gelegenheid te baat nemen.
Ik wil u vooral vragen om te antwoorden op zaken die vertrouwenwekkend kunnen werken. Wij hebben respect voor het werk dat u doet, maar op dit ogenblik is er absoluut een gebrek aan vertrouwen. Ook verneem ik graag hoe u de uitbouw van dat uniek portaal, waarnaar vaak verwezen wordt, concreet ziet.
Ik dank u voor uw overigens gewaardeerde uitleg.
01.03 Nabil Boukili (PVDA-PTB): Madame la présidente, monsieur Robben, merci pour votre exposé très fourni. Mais sauf erreur de ma part, il ne parle pas du sujet pour lequel nous sommes réunis aujourd'hui. Vous avez profité de cette audition pour légitimer certaines de vos fonctions, notamment certaines choses qui vous ont été reprochées en termes de traitement illégal de données ou la substitution illégale du CSI au Parlement. Vous dites que le CSI doit trancher quelles données peuvent être transmises, mais je pense que cela doit être encadré par la loi; et ce n'est pas le CSI qui fait la loi; c'est le Parlement.
Vous avez légitimé votre présence à l'APD en disant que vous n'êtes pas en conflit d'intérêts parce que, quand il y a traitement de sujets qui vous concernent, vous vous retirez des délibérations. D'ailleurs, j'aimerais savoir si depuis que vous y êtes, vous vous êtes toujours retiré de ce genre de réunions.
Mais ici, la question qui se pose, c'est votre présence même à l'APD. Vous dites explicitement: "L'APD n'interdit pas d'avoir des mandats publics." Excusez-moi, mais j'ai l'impression que c'est une contre-vérité. Quand je lis l'article 38 de la loi APD, dans son § 1er, il est dit explicitement: "Au moment de leur nomination et au cours de leur mandat, les membres du comité de direction du Centre de connaissances - ce qui est votre cas - et de la chambre contentieuse doivent remplir les conditions suivantes: (…) 6. ne pas être mandataire d'une fonction publique."
Je veux bien que vous tentiez de justifier qu'il n'y a pas de conflit d'intérêts parce que vous vous retirez des réunions, mais vous ne devriez même pas être à ces réunions, puisque la loi vous l'interdit, vu que vous êtes mandataire public.
Mais ce sont d'autres sujets. J'espère que nous aurons d'autres réunions pour creuser ces points. Ici, vous étiez invité concernant le projet Putting data at the center. Vous avez lu comme moi la presse, et le dossier du journal Le Soir qui a mis en avant ce projet de croisement de données, qui n'est pas encadré légalement, puisque aucune loi ne le prévoit; dont personne n'était au courant - ni le Parlement, ni le gouvernement. À ce moment-là, je me demande qui a fait la demande de mettre en place ce projet.
Vous avez réagi à l'article du quotidien Le Soir. Dans la presse et sur les réseaux sociaux, vous avez qualifié cet article de fake news. C'est une accusation très grave, une accusation teintée d'une certaine nervosité peut-être. Le même jour, le SPF BOSA confirmait l'existence de ce projet.
Je me demande ce que vous voulez dire par fake news car le SPF BOSA a confirmé l'existence de ce projet, alors que BOSA est membre de la Smals et devait logiquement y faire appel pour ce projet IT. En tant qu'administrateur délégué de la Smals, étiez-vous donc au courant de ce projet? L'assurance avec laquelle vous avez réagi m'a étonnée. Pouvez-vous aujourd'hui nous confirmer que vous n'étiez pas au courant et que la Smals n'est en rien liée à ce projet?
Dans le démenti publié par la Smals après la révélation de ce projet, il n'y a aucune allusion ni infirmation de deux autres informations publiées le jour même et qui sont aussi importantes. Elles concernent, d'une part, le chantier de la Sûreté de l'État dont le montant est passé de 7 millions à 23 millions d'euros sans aucun résultat concret à ma connaissance, sauf erreur de ma part et, d'autre part, le nouveau site de l'APD pour un montant de 150 000 euros, pour un site dit "vitrine" avec quelques formulaires PDF à télécharger. J'aimerais vous entendre par rapport à cela. Quel est le montant facturé par la Smals à la Sûreté de l'État? Pour quelles prestations? Y a-t-il eu un appel d'offres? Comment la Smals justifie-t-elle le montant de la prestation facturée à l'APD? Comme le souligne la presse, n'y a-t-il pas conflit d'intérêts entre votre statut à l'APD et votre position à la Smals?
Voici, à ce stade, les questions que je souhaitais vous poser. En fonction de votre réponse, je poserai éventuellement des questions complémentaires.
01.04 Kris Verduyckt (Vooruit): Mijnheer Robben, ik dank u voor uw toelichting, die ik grotendeels vanuit een andere commissie heb gevolgd, maar ik heb ze wel gehoord. Ik ga straks ook terug naar die commissie, maar ik ga later zeker uw antwoord op mijn vragen beluisteren.
De voorzitster heeft gezegd dat we het debat hoofdzakelijk moeten beperken tot het project: Putting data at the center. Ik heb daar een probleem mee, omdat ik begrepen heb dat uw rol daarin zeer beperkt is. Ik heb u zelf op de radio horen zeggen dat u blij was om eens naar het Parlement te komen om over een aantal zaken duidelijkheid te geven. Ik ga proberen om de focus daar te leggen, maar ik heb toch nog een paar vragen die daarvan afwijken.
Dan zal ik het eerst hebben over het project Putting data at the center. Wij hebben daarover een zeer technische nota gekregen. Zoals ik het begrepen heb, gaat het over een project waar men in een datapot voor burgers voorziet. Men wil burgers alleszins de mogelijkheid geven om te laten zien welke informatie de federale overheid over hen heeft.
Ik weet dat er in Vlaanderen een gelijklopend project is. In hoeverre zijn die twee met elkaar te vergelijken? Als dat zo is, is het voor mij nog duidelijker dan daarvoor. Over uw betrokkenheid zijn reeds vragen gesteld door de vorige collega's. Hoe kijkt u daarnaar? Eigenlijk is dit een soort van verschuiving waarbij we de data meer in handen geven van de burger, in de plaats van de data te laten zitten bij de overheid of zelfs bij privébedrijven.
Dan een meer algemene vraag, want u bent ook algemeen geëindigd. De discussie over dit dossier leert mij dat de gevoeligheid over privacy nog meer is toegenomen. Corona heeft dat duidelijk versneld. Ik vind het op zich prima dat wij daarover spreken.
Hoe kijkt u daarnaar? Waar zitten volgens u in het thema privacy in onze maatschappij de grootste gevaren? Zitten die bij de overheid? U verwees al naar privébedrijven. Hoe kijkt u daarnaar?
Over de werking van de GBA zullen we het niet hebben, maar ik heb uw boodschap over de evenwichten en de belangen duidelijk gehoord. We zullen daarover later zeker spreken in dit Parlement, als de audit van het Rekenhof klaar is.
De vorige spreker alludeerde er al op dat u verschillende petten op hebt. Dat is ook het grootste verwijt dat u wordt gemaakt. Wat is uw kijk daarop?
U zegt terecht dat de uitdagingen die eraan komen met artificiële intelligentie te maken hebben. Ik geloof zelf minder in de zelfrijdende wagen, maar het is een interessant onderwerp. We kunnen daarover van mening verschillen. Artificiële intelligentie heeft zeker te maken met privacy, maar er komt toch meer bij kijken. Er zijn ook ethische aspecten. Hoe kijkt u daarnaar? Hoe moeten we met de ethische vragen omgaan? Moeten we dat op een andere manier aanpakken? Moeten we daarvoor een ander orgaan creëren? Wat is uw visie daarop? Dat is zeker een belangrijk aspect.
Tot slot, ik heb een vraag over QVAX binnengekregen vanuit één van onze vaccinatiecentra. Ik wil van de gelegenheid gebruikmaken om u die voor te leggen.
Over het probleem van het omzeilen van de wachtlijst is al gesproken. U hebt gezegd: dat is even onbeleefd als voorbijsteken in een pretpark. Eigenlijk is dat zinloos.
Men zegt mij dat het bij QVAX mogelijk is via het rijksregisternummer op de reservelijst te komen en dat daar geen tweestapsverificatie aan gekoppeld is. Men kan bijvoorbeeld het rijksregisternummer van een oude persoon gebruiken om daar vervolgens zijn eigen naam aan te koppelen.
Ik weet niet of dat klopt? Maar als het zo is, is dat een vreemd gegeven en is dat een vorm van voorbijsteken die meer dan onbeleefd is.
Tot daar mijn vragen. Ik kijk uit naar uw antwoorden. Ik zal die zeker bekijken.
01.05 Nathalie Gilson (MR): Monsieur Robben, je vous remercie de votre exposé.
Il me semblait aussi nécessaire que vous informiez le Parlement de votre travail. Vous nous avez retracé la place du numérique dans notre système administratif de sécurité sociale et de santé, le rôle du CSI, ainsi que votre présence à l'APD. En revanche, je n'ai rien entendu au sujet du projet "Putting Data at the Center".
Comme mes collègues, je ne m'étendrai pas sur votre présence à l'APD, puisqu'elle a été décidée par le Parlement et qu'elle dépend d'une procédure à huis clos. Le CSI constitue un autre sujet. Toute votre carrière est brillantissime. Nous sommes très impressionnés par les différents projets que vous êtes parvenu à faire aboutir. Toutefois, une loi régit le fonctionnement du CSI, et je ne doute pas que vous l'appliquiez. De même, je ne pense pas que votre rôle au sein de cet organe outrepasse les limites définies légalement. Il reste que celui-ci prend la place du Parlement. Peut-être restez-vous convaincu que la fonction du CSI est justifiée et que son évolution est normale. Vous nous indiquez même que le projet de révision du RGPD devrait abonder dans ce sens. À ce stade, je ne dispose pas des mêmes informations que vous. Cependant, je sais qu'une plainte est pendante auprès de la Commission européenne. Dès lors, il serait intéressant pour notre pays d'en connaître l'issue.
Toujours est-il que je reste convaincue que le CSI se substitue au Parlement, étant donné l'absence de débat parlementaire et de loi, dès lors que cet organe autorise la transmission de données par d'autres opérateurs que ceux qui les ont recueillies initialement.
Aujourd'hui, nous sommes ici pour parler du projet "Putting Data at the Center". Je vais donc vous poser quelques questions à ce sujet. Nous savons que vous êtes à la tête de la Banque-Carrefour de la Sécurité sociale (BCSS), qui collabore avec le SPF BOSA sur ce projet. Nous avons appris par la presse que dès janvier 2017, vous avez évoqué le projet "BeST Address" dans la présentation des priorités et des axes stratégiques de la BCSS.
Je voudrais savoir si la Smals intervient dans ce projet "Putting Data at the Center". On a dit que vous aviez un rôle important parce que vous êtes le CEO de la Smals. Notre collègue de la N-VA vient de dire qu'il y a un manque de confiance de la part des membres francophones de la Vivaldi. Á la lecture de nombreux articles de presse, je vois que ceci peut être étendu aux citoyens et à la société civile, puisque de manière récurrente, des inquiétudes par rapport au rôle de la Smals et du CSI, et par rapport à la protection des données, sont exprimées.
Ma deuxième question concernant la Smals est la suivante. Pensez-vous que la Smals jouit d'avantages par rapport à d'autres entreprises dans la relation qu'elle entretient avec l'État fédéral? Par exemple quand un SPF fait appel à la Smals, est-ce sur la base d'un cahier des charges bien précis, soumis à la concurrence, et auquel la Smals répond au même titre que d'autres consultants pour ensuite remporter le marché? Ou bien, le fait que la Smals est une ASBL liée à l'État justifie-t-il que l'État ne fasse pas de cahier des charges et ne lance pas de marché public ouvert à la concurrence?
La Smals peut-elle être, de manière structurelle, sans jamais ouvrir le marché à des concurrents du monde de l'entreprise, une sorte de sous-traitant pour tout ce qui concerne l'informatique dont a besoin l'État fédéral?
En ce qui concerne le projet Best Adress, je sais, pour être mandataire communale depuis longtemps, qu'il vise l'intégration des données du Registre national avec les données d'urbanisme, en tout cas pour tout ce qui concerne la Région bruxelloise. Je crois d'ailleurs que la Région bruxelloise n'a pas encore terminé la mise en œuvre de ce projet. Je voulais savoir si les consultants qui travaillent pour ce projet proviennent de la Smals.
De manière générale, quand la Smals fournit des consultants à un SPF, cela se fait-il sur base d'un cahier de charges précis? S'il n'y a pas de cahier de charges précis ouvert à la concurrence, comment cela se passe-t-il? Y a-t-il une lettre de mission ou un contrat signé entre le SPF et la Smals?
Pour le projet Putting Data at the Center, un SPF peut-il lancer un tel projet sans recourir à la Smals? Comment la Smals est-elle organisée? A-t-elle une liste de tous les consultants qui travaillent pour elle et une liste des projets sur lesquels ces consultants travaillent? Si la Smals a travaillé sur le projet Putting Data at the Center, cela apparaît-il dans les données de la Smals? Il y a eu un démenti dans la presse selon lequel la Smals n'était pas en charge du projet. Mais on a également pu lire dans la presse que des consultants de la Smals travaillaient peut-être sur ce projet.
Pourriez-vous nous donner des informations complémentaires à ce sujet?
À l'instar d'un de mes collègues, je regrette que nous n'ayons pas reçu votre PowerPoint à l'avance car tous les renseignements qui y sont repris sont très intéressants pour comprendre le fonctionnement de l'État et de tout ce système digital. J'espère donc qu'il nous sera communiqué. Par ailleurs, vous allez répondre oralement à nos questions, mais vous pourriez également compléter vos réponses par écrit.
J'en reviens à ma question. Des consultants de la Smals travaillaient-ils sur le projet aujourd'hui à l'arrêt? Si oui, depuis combien de temps? Que faisaient-ils? Quels sont les montants qui ont été facturés par la Smals à BOSA pour le travail effectué?
Lors de son audition, M. Ben Smeets nous a expliqué que, durant la phase de tests dans le cadre du projet "Putting Data at the Center", il était prévu de travailler sur des données non anonymisées et donc des données personnelles.
Je ne sais si cela a été le cas ou pas, mais à un moment donné, il fallait procéder à une pseudonymisation des données. En fait, quand on pseudonymise, on traite les données personnelles. Et pour traiter des données personnes, il faut l'avis de l'Autorité de protection des données. Un avis a-t-il été demandé?
Vous avez souvent parlé de pseudonymisation des données. Il s'agit ici d'un aspect qui revient quand il est question de recherche scientifique. Lors de votre exposé, vous avez dit qu'il y avait une fonction d'appui de cette dernière lors de la fourniture de données pseudonymisées qui servent à cette recherche scientifique
On a également pu constater que, dans tous les accords de coopération relatifs au dépistage, au traçage, etc., il était prévu que les données seraient pseudonymisées et conservées dans un but de recherche durant une durée très longue (20 ou 30 ans)..
Le fait qu'on pseudonymise des données au lieu de les anonymiser a fait débat au Parlement. Á un moment ou à un autre, quand les données sont pseudonymisées, nous savons qu'il est malgré tout possible, moyennant certaines opérations, de remonter et identifier les personnes dont les données ont été pseudonymisées.
J'ai l'impression que c'est une doctrine d'être convaincu qu'il vaut mieux avoir des données pseudonymisées qu'anonymisées, comme si la recherche scientifique ne disposerait pas de données aussi pertinentes si ces données étaient anonymisées au lieu de pseudonymisées. Je voudrais avoir votre avis. Pourquoi est-il tellement important de pseudonymiser au lieu d'anonymiser? Cela change-t-il quelque chose à la manière dont la recherche scientifique sera faite?
Le projet "Putting the Data at the Center" étant assez complexe et technique, je voudrais savoir s'il a été possible d'avancer sur ce projet sans le concours de la Smals? C'est une question précise.
Je reviens au tout début de votre exposé. Comme vous, je suis juriste et ancienne avocate. Mais je ne suis pas informaticienne. Par contre, vous alliez ces formations, ce qui rend votre parcours professionnel impressionnant. Vous avez indiqué que pour vous, il n'y avait pas de hiérarchie entre les droits constitutionnels, et que tous ces droits devaient se combiner entre eux. Au contraire, j'ai déjà lu des articles selon lesquels le droit à la vie privée était la base de tous les autres droits. J'aimerais obtenir de votre part, si vous en avez, des sources de doctrine ou de jurisprudence qui illustrent votre propos.
J'ai aussi lu cela dans l'interview que vous aviez donnée un samedi dans le journal L'Écho. Vous étiez photographié avec un nounours derrière vous. Vous étiez à la fenêtre de votre habitation. C'était assez sympathique et cela renvoyait une idée de bienveillance. Vous disiez aussi dans cet article qu'il fallait combiner les différents droits constitutionnels et que le droit à la santé pouvait justifier des restrictions ou des violations au droit à la vie privée. C'est vraiment sur cette question de la hiérarchie des droits constitutionnels que je voudrais vous entendre.
On nous a dit que vous participiez à la rédaction de textes de loi, à des intercabinets. Cela représente-t-il une grande partie de votre temps de travail?
Vous avez mis l'accent, dans votre exposé, sur le fait que le citoyen peut rectifier ses données. Pourriez-vous fournir un peu plus d'informations? Comment le citoyen peut-il voir quelle administration a accès à ses données, mais pas de manière théorique? Peut-il le visualiser sur une plate-forme? Peut-il visualiser sur une plate-forme, dès maintenant, quelle institution ou quelle administration a eu accès à ses données, et lesquelles? Le citoyen peut-il aussi rectifier les données qui le concernent en possession de l'État? J'en termine avec ce sujet; je reviendrai peut-être avec d'autres questions. Merci déjà pour toutes ces informations.
01.06 Cécile Thibaut (Ecolo-Groen): Monsieur Robben, je suis contente de faire votre connaissance. Je suis ravie de l'exposé que vous nous avez présenté. Il aurait peut-être dû avoir lieu en début de législature avec le regard contradictoire de l'Autorité de protection des données (APD) pour que les nouveaux députés puissent avoir un regard complet en cette matière.
Nous avons bien compris que la Belgique est pionnière en matière d'e-gouvernement. Comme M. D'Haese le souligne, il y a un processus de méfiance et de défiance à l'égard de la protection des données. Je pense que la crise sanitaire y est pour quelque chose. Je pense aussi que, quelque part, votre personnage, l'architecte que vous êtes, y est aussi pour quelque chose, car effectivement, vous êtes un personnage hors norme et qui a revêtu un rôle important dans la construction de l'architecture des bases de données en Belgique. Personne ne le nie. Cela exige de la transparence et, en tout cas, des explications.
Dans ce cadre, je ne comprends pas pourquoi vous n'avez pas dit un mot sur le projet Putting data at the center. Je pense que les députés et même les francophones ont compris lors de la précédente réunion avec M. Smeets que ce projet existe depuis de nombreuses années, qu'il a été initié par M. De Croo dans un agenda numérique, qu'il a une base juridique et que le principe de collecte unique des données et leur réutilisation est tout à fait compréhensible. Ce n'est pas du tout ce que la presse en a dit! Je ne comprends donc pas comment il se fait que vous n'en touchiez pas un mot parce qu'au vu de vos nombreuses casquettes, il est difficile d'imaginer que vous n'y soyez pas impliqué à un moment ou à un autre.
J'aimerais que nous puissions vous entendre de manière positive sur votre implication à ce sujet. C'est légitime et de surcroît, c'est le thème de notre rencontre.
La méfiance est en effet, monsieur Robben, liée à la crise sanitaire qui engendre une récolte énorme de données. Le citoyen est dès lors aujourd'hui inquiet, car si la Belgique en a été la pionnière, nous sommes véritablement inquiets face à l'interconnexion. Tout au long de votre exposé, nous ne vous avons pas beaucoup entendu parler de l'interconnexion entre les bases de données. Cela préoccupe les citoyens et nous préoccupe aussi grandement. Je pense que nous devrions pouvoir recevoir un état des lieux relatif à l'interconnexion des bases de données et des balises juridiques nécessaires à cet effet.
J'ai encore une question concernant le Comité de la sécurité de l'information. Lorsque vous le présentez, nous ne semblons pas avoir le même regard quant à son rôle. Preuve en est la plainte déposée à la Commission européenne. Nous examinerons s'il y a, oui ou non, une procédure d'infraction et si c'est bien compatible avec le RGPD.
Vous n'avez pas mentionné que vous étiez conseiller auprès du CSI. Je consultais Cumuleo tout récemment, et vous êtes toujours – vous l'étiez l'année dernière, du moins – mentionné comme conseiller au niveau du CSI. Nous confirmez-vous que vous êtes également conseiller au CSI?
Enfin, je pense que nous ne pouvons quitter cette séance sans que vous ne nous expliquiez comment vous faites. J'ai bien entendu que vous ne participez pas à la décision s'il y a conflit d'intérêts, mais comment faites-vous pour gérer tous ces dossiers, quel est votre emploi du temps? Cela devient un peu particulier. Si vous devez vous retirer chaque fois qu'il y a conflit d'intérêts, comment faites-vous? C'est une question légitime que nous posons et qui doit être posée en toute transparence.
01.07 François De Smet (DéFI): Monsieur Robben, je vous remercie pour votre exposé très complet et intéressant. Vous nous avez parlé de tout, sauf du projet "Putting Data at the Center". S'agit-il d'un non-sujet pour vous, ou aviez-vous d'emblée prévu d'en parler dans vos réponses et de d'abord utiliser votre temps de présentation pour rétablir certaines de vos vérités?
Les questions que nous nous posions sur ce projet se posent toujours. Au fond, quel est le problème? En vertu du RGPD, cet ensemble de renseignements privés, voire intimes, se doit d'être manipulé dans un objectif précis, légitime, et avec un mandat du Parlement. Nous sommes nombreux à avoir l'impression que ce projet n'est encadré ni par un texte législatif ou administratif probant, ni par un contrôle suffisant de l'Autorité de protection des données ou du Conseil d'État.
J'ai quelques questions assez précises. Vous avez accusé la presse, en l'occurrence le journal Le Soir, d'avoir publié de fausses informations et d'avoir volontairement miné la confiance de la population. Il y a peut-être là un problème de fond intéressant, dans le sens où le projet "Putting data at the Center" – comme l'a encore expliqué M. Ben Smeets du SPF BOSA à cette commission de la Justice – présenterait "un haut potentiel en termes d'intelligence artificielle". Or, pas plus tard que la semaine dernière, la Commission européenne a émis des recommandations en matière d'intelligence artificielle et rappelé les dérives potentielles si ces recommandations n'étaient pas encadrées.
À plusieurs reprises, la presse – et pas uniquement Le Soir – a révélé des projets dans lesquels la charrue a été mise avant les bœufs. On a l'impression que c'est souvent le même processus. On fait quelque chose parce qu'on s'aperçoit que c'est techniquement possible, et c'est seulement après qu'on se pose parfois la question de la légitimité de notre acte. Depuis le début de la crise, le gouvernement s'est fait plusieurs fois épingler parce qu'il prévoyait des traitements de données sans base légale et sans débat parlementaire?
Ne trouvez-vous pas que ce qui mine la confiance de la population est d'imaginer et de mettre en œuvre des traitements de données en envisageant des traitements algorithmiques comme le datamining sans base légale, en contournant le Parlement, sans contrôle de l'APD ou du Conseil d'État?
Le CSI, vous nous en avez parlé beaucoup, sur ce qu'il fait et ce qu'il ne fait pas. Dans le projet Putting Data at the Center, quel était vraiment le rôle du CSI? Pouvait-il "modifier" la loi si aucune base légale n'était suffisante pour mener à bout le projet? Le CSI ne fait pas la loi, comme l'a dit l'un de mes collègues. Il est frappant de voir que nous sommes plusieurs parlementaires, de groupes très différents idéologiquement, à avoir l'impression que le CSI se substitue au Parlement. Je pense qu'il est important que ce soit entendu.
Quel est le rôle du G-Cloud Strategic Board dans le projet Putting Data at the Center? C'est un organe qui n'a pas de base légale mais qui rassemble tous les patrons des SPF et où il serait très surprenant que ce projet n'ait pas été abordé.
J'ai encore une question sur l'articulation entre BOSA et Smals. Des consultants extérieurs travaillant chez BOSA. Ont-ils été recrutés par la Smals ou par l'ASBl Egov, membre de la Smals? Plus largement, je me demande combien de consultants recrutés par Egov travaillent actuellement dans les SPF? Quel coût cela représente-t-il? Le fait de passer par Egov permet-il de bénéficier des mêmes conditions in house que si on passe directement par la Smals en tant que membre?
Enfin, je ne parlerai pas de l'APD parce que la présidente nous a gentiment demandé de ne pas le faire et parce que ce n'est pas le sujet. Puisque vous avez abordé le sujet vous-même, je rappelle qu'il ne suffit pas, à mon avis, de s'abstenir de participer à des réunions pour qu'il n'y ait pas conflit d'intérêts ou pour que la loi cesse de s'appliquer. Ce n'est pas parce que la Chambre précédente serait éventuellement en tort dans ses désignations qu'il n'y a pas de problème.
01.08 Khalil Aouasti (PS): Monsieur Robben, on dit de vous que vous êtes partout. Vous le démontrez encore aujourd'hui puisque vous êtes le seul à être présent physiquement et présent à l'écran. C'est une première dans cette commission.
Je souhaiterais parler de Putting Data at the Center. Votre présentation était costaude, impressionnante et importante. Il faudra prendre le temps de la lire, de s'en nourrir et de voir ce qu'il y a dedans. J'aimerais comprendre quelle a été la mécanique qui a permis ce processus, intellectuellement et matériellement. Je vous avoue qu'il y a à ce jour encore trop d'inconnues pour moi pour poser les bonnes questions aujourd'hui. Pourquoi y a-t-il beaucoup trop de questions? J'ai lu la note qui nous a été adressée par BOSA et je découvre que le mandat relatif à ce projet aurait été formellement approuvé le 1er janvier 2018 par quelque chose qui s'appelle Opéra.
Je vous avouerai que c'était la première fois que je lisais cela. En note en bas de page, j'aperçois que 'opera' correspond à la management team de la direction générale TD. J'ignorais que la management team de la direction générale TD avait la possibilité de donner mandat pour créer quelque chose de nouveau. Je le découvre. Je me demande sur quelle base. Je n'ai pas cette réponse. Plus étonnant encore, le projet a été, semble-t-il, présenté à un groupe de pilotage appelé "be digital" qui aurait été dissous en 2019. Non seulement le mandat est donné par la management team à un groupe de pilotage dont la composition est particulière. En outre, il est dissous en 2019. Cela fait donc deux ans qu'un projet continue à exister alors même que le groupe de pilotage censé l'encadrer est dissous depuis 2019. Ensemble, il faut examiner tous ces garde-fous qui nous permettent de déterminer comment on y arrive. En septembre 2018, un projet aurait été présenté à un groupe de coordination de l'intégrateur de services fédéral. Des questions critiques auraient été posées par deux autorités participantes. Quelles étaient ces questions critiques? Des réponses y ont-elles été apportées? On dit qu'on décide de se concerter à nouveau ultérieurement lorsqu'on a refait davantage de clarté sur l'approche, le business case et les avantages attendus. Tous ces éléments sont découverts dans un rapport technique, largement incomplet, dont on ne dispose pas aujourd'hui. Une architecture est présentée malgré cela en mai 2020. On essaie de répondre aux questions légales. Une démo est donnée en juin 2020 mais on ne sait pas à qui. Et ainsi de suite. On a toute une série de cascades qui nous amènent finalement à un article dans le journal Le Soir en mars 2021. Cette cascade démontre qu'il y a eu toute une série d'éléments dont on ne dispose pas. Les données nous sont inconnues et il nous est donc impossible de les examiner comme parlementaires et de voir ce qui a été fait, par qui cela a été contrôlé, à quel moment, sur quelle base, quels étaient les objectifs et les garde-fous.
Je manque donc d'éléments d'information nombreux et je suis dans l'impossibilité, comme je l'ai dit en introduction, de vous poser les bonnes questions pour espérer avoir les bonnes réponses.
Tout cela nous amène à une séquence particulière, la fameuse séquence de mars 2021, où M. le secrétaire d'État, M. Michel, dit publiquement: "Il n'y a pas de mandat. Je demande à ce que l'on stoppe le processus." Ensuite, des échanges ont lieu. Mon administration dit qu'elle était au courant, l'autre dit qu'elle ne l'était pas. Et l'on découvre, peu à peu, que ce projet s'intégrait vraisemblablement dans des logiques plus anciennes, notamment sur le pied de la loi Only Once de 2014, ce qu'on a voulu faire à travers Fedict et à travers toute une série de choses, mais l'on découvre aussi que tant les bases de données Only Once, que Fedict, etc. ne permettent pas de donner une base légale à cet intégrateur et au choix que doit faire cet intégrateur de transmission des données, ni à l'intégrateur lui-même ni au Comité de sécurité de l'information, comité sur lequel on pourrait encore discuter. Donc, il n'existe pas aujourd'hui de bases légales pour jouer cela. J'entends "Ce n'est qu'un projet, ce n'est qu'une volonté, qu'une façon de réfléchir à la façon d'installer le filtre permettant de faciliter les échanges entre tout cela".
Ce qui m'interpelle en ma qualité de parlementaire, c'est ce projet Putting data at the Center ainsi que tous ces manquements, ces interrogations auxquelles je n'ai pas de réponse,- ce qui nous a amené aujourd'hui à vous entendre, et qui nous amènera à auditionner d'autres personnes - et qui pourraient, dans des circonstances similaires conduire à d'autres projets dépourvus de transparence, sur lesquels il n'y a aucune connaissance, dont on ignore qui donne mandat, qui contrôle, sur quelles bases, dans quel cadre, avec quel objectif et quelles données tests. (Dans le cas qui nous occupe, c'est la Banque-Carrefour des entreprises qui a servi de données tests). Moi, c'est là où je suis mal à l'aise, car j'ai presque envie, monsieur Robben, de vous fixer un prochain rendez-vous, d'une part, pour prendre connaissance de votre PowerPoint, et, d'autre part, pour demander que toutes ces informations présentées sur quelques lignes mais dont nous ne disposons pas, nous soient communiquées afin d'en prendre connaissance et de pouvoir, enfin, établir la clarté en la matière.
Vous allez peut-être m'apporter certaines réponses, mais des rapports ont vraisemblablement été effectués au sein de différentes administrations. Ces rapports nous sont aujourd'hui inconnus, indisponibles, ne nous sont pas présentés. Voilà mes difficultés! Je vous le dis très sincèrement aujourd'hui. Vous nous apporterez sans doute certaines réponses, mais personnellement, je vais surtout demander à Mme la présidente de la commission d'écrire afin de demander que l'ensemble de ces rapports, de ces données qui sont mentionnées, tout comme celles qui ne le sont pas, nous soient transmis afin d'en prendre pleine et entière connaissance et de pouvoir les analyser en toute transparence.
Je n'ai aucune suspicion. Il s'agit uniquement d'une volonté de prendre pleinement connaissance d'un dossier avant de me prononcer sur la méthode qui a fait que ce dossier existe. Mon objectif est également d'éviter que cette méthode ne puisse plus exister car elle est désagréable pour le secrétaire d'État qui semble découvrir les choses, pour les membres du Parlement qui sont dans le même cas, mais aussi pour tous ceux qui ne sont pas aussi versés que nous dans la politique et qui découvrent de nombreuses choses et ce, sans que les garde-fous ne soient connus.
01.09 Vanessa Matz (cdH): Monsieur Robben, je vous remercie pour votre exposé très complet.
Cette mise au point était nécessaire, mais reconnaissons que nous avons le sentiment – veuillez m'excuser d'utiliser cette expression un peu triviale – qu'on a noyé le poisson. En effet, il est regrettable que ce n'est qu'un peu avant midi qu'on en vient réellement à l'objet de notre réunion, à savoir le projet "Putting Data at the Center".
Je serai très brève car il me semble que les questions essentielles ont déjà été évoquées. Les membres de ce Parlement – je ne parle même pas du secrétaire d'État – ont le sentiment qu'on leur a fait un enfant dans le dos. Il est extrêmement peu plaisant de découvrir, via la presse, l'existence de projets d'une telle importance dans le cadre desquels le Parlement a pourtant un rôle fondamental à jouer. Je tiens d'ailleurs ici à souligner le rôle important du journal Le Soir. En effet, s'il n'avait pas été là, nous serions encore tous et toutes dans l'ignorance de ce projet.
Sous forme de synthèse, mes questions sont les suivantes: Qui? Quoi? Comment? Ces questions sont restées jusqu'à présent sans réponse ou partiellement sans réponse. Nous souhaiterions donc obtenir ces réponses aujourd'hui car une connaissance de ce qui s'est passé permettrait peut-être et même sûrement – en tout cas, je l'espère – d'éviter que cela se reproduise dans le futur.
Peut-être est-il nécessaire d'utiliser de telles procédures, mais en quoi cela est-il justifié? En tant que juriste, vous savez qu'il faut toujours un objectif légitime quand il est question de manipulation des données.
Je ne vais pas revenir sur le rôle du CSI. De nombreux collègues l'ont évoqué. Il est clair que nous allons devoir opérer une refonte, que ce soit au niveau de sa composition ou de ses missions. D'autres ont parlé de la question des marchés publics et de l'absence de transparence de ces marchés publics. Je voudrais également vous poser une question un petit peu plus précise. Nous savons aussi que le contexte de défiance généralisée qui règne par rapport au traitement des données vient en partie de la situation de la pandémie mais aussi en partie, de l'avant-projet de loi pandémie que nous aurons l'occasion de traiter demain, en tant que projet de loi pandémie. Mes collègues ne vont pas me démentir, vu les milliers de mails en chaîne que nous recevons depuis des semaines.
Le Centre de crise avait déclaré, à l'occasion des auditions que nous avons eues, que le RGPD était une entrave - ce sont les mots employés - dans la lutte contre la pandémie. Je voudrais avoir votre avis sur cette question, qui me paraît fondamentale. Nous restons persuadés que ces deux objectifs très importants, à savoir la lutte contre la pandémie avec des mesures sanitaires, et la protection d'un certain nombre de droits et de libertés, qui est un autre principe extrêmement important, ne sont pas incompatibles. Mais vraisemblablement, le Centre de crise a l'air de penser que ce n'est pas tout à fait le cas. Je voudrais vraiment avoir votre opinion sur cette question, mais aussi comme je l'ai dit, surtout, je voudrais que vous nous répondiez en toute transparence sur la question du projet Putting data at the center qui a été dévoilé par la presse. Qui? Quoi? Comment? Quel contrôle? Quel mandat? Quel avancement de travaux pour quel objectif? Je pense que c'est l'objet même de la réunion de ce matin, presque de ce midi. Je pense qu'il est temps que vous nous répondiez sur ces points-là. Je vous remercie.
01.10 Koen Geens (CD&V): Mevrouw de voorzitster, mijnheer Robben, ik dank u voor uw volledige uiteenzetting.
Ik wil u twee zaken vragen die niet zozeer betrekking hebben op Putting data at the center, maar die er onrechtstreeks verband mee houden en die in de toekomst misschien kunnen zorgen voor de voorkoming van dit soort incidenten.
Het Informatieveiligheidscomité laat onder zekere voorwaarden het mededelen van persoonsgegevens toe, met name legitimiteit, proportionaliteit en finaliteit. Op dit ogenblik en onder toezicht van dit Parlement bestaat in ons recht de mogelijkheid om informatie te delen op een voor de burger transparante wijze.
In die teksten worden woorden gebruikt die typisch voor juristen zijn. Er staat daar bijvoorbeeld, ik citeer: "Men gaat over tot een beraadslaging waardoor er een transparantie voor de persoon van wie de gegevens worden meegedeeld bestaat." Indien men op dat stuk transparant zou zijn en er bij iedereen op deze banken, die belast is met het toezicht op dat Informatieveiligheidscomité, inzicht zou bestaan over dat precies betekent, zouden wij al een stuk verder staan.
U hebt zelf onderlijnd dat de Gegevensbeschermingsautoriteit daartegen een zeker beroep kan uitoefenen binnen de 45 dagen en niet retroactief.
Dat is wat het is. Dat is, althans binnen de geviseerde sectoren, een belangrijk knooppunt in dit hele dossier. De wetgever zelf heeft onder zekere voorwaarden het delen van informatie toegelaten onder toezicht van dat Informatieveiligheidscomité.
Ik heb goed geluisterd naar de collega's, niet alleen in deze vergadering. U hebt zonder twijfel met ons kunnen vaststellen, mijnheer Robben, dat de vierde macht in dit verhaal een heel belangrijke rol heeft gespeeld. Ik heb altijd gedacht dat dit de eerste macht was. Vandaag zie ik de vierde macht niet op de banken zitten, maar ze luistert misschien mee.
Wij zijn de eerste macht. Het bevreemdt wat dat wij in die mate afhankelijk zijn van de informatie die de vierde macht ons aanlevert, precies voor een bevoegdheid waar de wetgever aan het Parlement een zeer grote ruimte heeft gegeven. De wetgever, zijnde dus het Parlement, realiseerde zich immers dat dit een materie is waarin de uitvoerende macht zeker niet het monopolie moet krijgen. Ik heb een tijdje in die uitvoerende macht gezeten. De vergelijking is zeker niet ironisch bedoeld, maar toen ik het toezicht op het gevangeniswezen vroeg toe te vertrouwen aan het Parlement, was dat omdat ik dacht dat het Parlement dat veel beter zou doen dan ik en veel minder partijdig.
Het is niet zo eenvoudig voor een minister om toe te geven dat zijn gevangeniswezen niet goed draait.
Mevrouw de voorzitster, ik zit nu in de commissie en zie hoe wij ons bezighouden met dat toezicht. Met name beroepen wij ons steeds op wat de vierde macht zegt. Dat is uiteraard bijzonder interessant, maar, en ik zei het onlangs ook aan de staatssecretaris, toen hij ons te woord stond in de plenaire zaal, wij moeten dit op een andere en veel professionelere manier aanpakken en mekaar niet op deze manier allerlei dingen zitten verwijten die wij via de pers vernemen. Dat is te gek voor woorden.
Privacy betreft niet het Grondwettelijk Hof. Daarmee hebben wij ook iets te maken, maar dat is echt onafhankelijk. Wij spreken over het Comité I, het Comité P en wat mij betreft het Comité J, want justitie ontsnapt aan elk toezicht van de wetgever, daarover kan men nog discussiëren. Maar wat met een Comité Privacy?
Ik ben heel gerust in de competentie van de commissie voor de Justitie, maar niet in de manier waarop wij dit doen. Daar kunt u niet aan doen, daar kan ik niet aan doen, maar wij moeten die traditie creëren, want wij geven op deze manier in de ogen van het publiek niet echt de indruk professioneel bezig te zijn. De heer Robben is daarmee bezig sedert enige tijd, heb ik begrepen. Hij is natuurlijk jonger dan ik maar toch niet veel.
De vraag is eigenlijk vooral hoe wij dat kunnen doen. Putting Data at the Center is een interessant punt, maar het is een heel klein deeltje van heel dat brede domein. Ik besef dat er ook de commissie voor Gezondheid, de Kruispuntbank en de commissie voor Sociale Zaken zijn, maar iedereen is geëxcuseerd om het niet te weten, tot hij het in de krant leest.
Ik vind dit niet de gepaste manier voor een voogdijbevoegdheid die aan een Parlement is toegewezen. Ik zal op een ander moment dezelfde uiteenzetting houden voor het gevangeniswezen. Wij moeten ons dit aantrekken. Het is ons toevertrouwd op een manier die grondig en professioneel is. Er moet geld komen van de uitvoerende macht, indien het nodig is. Ik heb destijds geld van de uitvoerende macht voor het gevangeniswezen gegeven, dat herinner ik mij zeer goed, maar waarschijnlijk niet genoeg. (..) Het is belangrijk dat men dat doet. Ik ben er diep van overtuigd, want dit is een discussie die we niet zouden mogen hebben.
01.11 Frank Robben: Dat zijn heel veel vragen. Ik zal ze proberen te structureren.
Om te beginnen mijn excuses als ik het niet direct gehad heb over Putting Data at the Center, maar ik vond het belangrijk dat u het globale kader kreeg.
Ik was inderdaad lid van het informele orgaan dat minister De Croo heeft bijeengeroepen rond be digital. Daar is inderdaad een aantal projecten uit voortgekomen. Ik herinner mij niet dat dit Putting Data at the Center of wat ook werd genoemd, maar het idee erachter was ervoor zorgen dat er voor een aantal zaken open data zijn. Dat zijn geen persoonsgegevens en het gaat niet over profilering. Die kan men dan gebruiken voor een aantal zaken. Het tweede was ervoor te zorgen dat gegevens veilig kunnen worden uitgewisseld binnen het geschetste kader in de twee sectoren waarmee ik mij bezighoud, maar ook in andere sectoren. Ik vind dat uiteraard een goed idee.
Het is niet de bedoeling dat mensen x keren dezelfde informatie moeten geven. Het is ook niet de bedoeling dat er onjuistheden en contradicties zitten tussen die gegevensbanken. Het concept dat daar voor een stuk achter zit, is dat van dienstenintegrator. U weet dat mij in 2000 werd gevraagd om, nadat iemand anders dat een jaar had gedaan, Felix op de rails te zetten. Ik heb dat geprobeerd en dat dan terug afgegeven. Het concept van een dienstenintegrator in de andere sectoren volgens dezelfde principes waarbij er geen centralisatie van gegevens is, maar er wel voor wordt gezorgd dat voor burgers en ondernemingen op een geïntegreerde manier diensten worden aangeleverd, daar sta ik uiteraard achter. Het feit dat er anonieme, open data worden gegeven die worden gebruikt om zaken mogelijk te maken, ook.
Voor de rest hebt u de nota kunnen lezen. In mijn uiteenzetting heb ik het daarover niet gehad omdat wij voor dat project niet zelf aan het stuur zaten.
Misschien kan ik ook direct de link leggen met Smals. Ik heb u uitgelegd waarom Smals tot stand gekomen is. Wij proberen er vooral voor te zorgen dat er op een correcte manier met maximaal hergebruik en met maximaal gedeelde diensten gewerkt kan worden om de kosten zo laag mogelijk te houden en om voor zo veel mogelijk schaaleffect te zorgen. Een van de zaken die Smals doet, is lastenboeken uitgeven op vraag van zijn leden. Dat zijn raamovereenkomsten en soms ook opdrachtencentrales. Een raamovereenkomst is een overeenkomst waarbij op voorhand niet vastgesteld wordt hoeveel men zal afnemen. Een opdrachtencentrale is een juridisch systeem waarbij iemand anders dan degene die het lastenboek in de markt zet, ook kan bestellen op dat lastenboek. Door dat gemeenschappelijk te doen, zijn er ten eerste betere voorwaarden, gelet op het schaaleffect, en ten tweede vermijden wij dat tal van overheidsdiensten dezelfde administratieve lasten moeten doen om lastenboeken uit te geven, te evalueren en dergelijke. Alle opdrachtencentrales en alle raamovereenkomsten die Smals uitgeeft en gunt, komen op de raad van bestuur van Smals, waar twintig mensen zitten, vertegenwoordigers van de leden, dus ook openbare instellingen van sociale zekerheid of FOD's, en een vertegenwoordiger van de minister van Begroting en een vertegenwoordiger van de minister van Sociale Zaken.
Wij hoeven niet te weten wanneer men op zo'n opdrachtencentrale wil afnemen. Ik weet niet exact voor welke projecten er allemaal beroep wordt gedaan op opdrachtencentrales van Smalls. Elke overheidsinstelling die vermeld staat in dat lastenboek kan dat daarop afnemen. Dat geldt aan die prijzen en zij sturen die mensen aan. Smalls is geen systeem waarbij er inhoudelijk een centrale aansturing is van alle projecten waar beroep wordt gedaan op mensen aangetrokken via die opdrachtencentrales of die raamovereenkomsten worden aangetrokken.
De FOD BOSA zal inderdaad wel beroep hebben gedaan op die contracten om consultants aan te trekken, maar de inhoudelijke aansturing gebeurt door de FOD of door de instelling van openbare zekerheid die er beroep op doet.
Wat betreft vertrouwen, wat de heer Geens heeft gezegd is heel juist. Vertrouwen komt te voet en gaat te paard. Ik heb u proberen uitleggen welke evenwichten wij proberen te zoeken. Ik zou niet liever hebben dan dat dit hier op regelmatige basis het voorwerp kan uitmaken van een debat over essentiële zaken. Er is een jaarlijks verslag aan het Parlement van het Informatieveiligheidscomité en vroeger ook van het sectoraal comité van de Sociale Zekerheid. Misschien is dat een gelegenheid om het over een aantal zaken te hebben, niet alleen ex-post, maar ook proactief.
Ik hecht in elk geval enorm veel belang aan vertrouwen en transparantie.
Ik geef een voorbeeld.. Het eerste wat ik gedaan heb – u kunt dat nagaan – toen ik midden april 2020 telefoon kreeg van het kabinet van Philippe De Backer met de vraag om op twee en een halve week een systeem van contactopsporing uit te bouwen, is die nacht een website gemaakt, met name www.corona-tracking.info, omdat ik goed besefte dat er heel veel gecommuniceerd zou moeten worden. Ik ben daar erg veel mee bezig geweest. Alles wat op die website staat, is van mijn hand. Het gaat onder meer om al de procedures, zoals hoe artsen testen organiseren, hoe vaccinatiecentra te werk gaan, hoe staalafnames plaatsvinden, alle regelgeving. Ik kan u daarvan een aantal slides tonen. Toen ik daarvoor aangetrokken of gevraagd werd, was er een werkgroep actief van de expertengroep GEES. Op dat moment lag er een voorstel voor om alle gegevens van Sciensano met aanduiding van de identiteit van de persoon door te sturen naar een extern datawarehouse, bij een privébedrijf, dat vervolgens allerlei soorten van clusteranalyses zou maken. Ik heb onmiddellijk gezegd – dat kan ik u laten zien – dat dit niet kon, dat wettelijk omkadering noodzakelijk was, dat er deftige samenwerkingsakkoorden uitgewerkt moesten worden, dat een en ander proportioneel moest zijn, dat er veiligheidsmaatregelen moesten komen en dat alle stromen in detail beschreven moesten worden. Aldus is gebeurd, vooraleer het systeem in werking trad. Het samenwerkingakkoord was er niet, want dat kan spijtig genoeg niet op een paar weken tijd gemaakt worden. Om die reden werd er ondertussen gewerkt met koninklijke besluiten. Het was echter wel geregeld. Het samenwerkingsakkoord is naderhand in alle parlementen besproken.
Ik wil trouwens opmerken dat, vóór de GDPR, het sectoraal comité Sociale Zekerheid eigenlijk opgericht was binnen de Commissie voor de bescherming van de persoonlijke levenssfeer. De voorzitter en een ander lid waren mensen van de commissie voor de bescherming van de persoonlijke levenssfeer. Er bestond, welhaast prejudicieel, een mogelijkheid tot vraagstelling. Als er een principekwestie was, dan werd die eerst aan de Commissie voor de bescherming van de persoonlijke levenssfeer voorgelegd.
Dat is nu niet meer mogelijk, omwille van de GDPR. Die stelt dat als men een bepaalde opdracht geeft aan een bepaald orgaan, dat niet meer binnen de GBA kan zitten. Vandaar de beschreven regeling om gedurende 45 dagen de mogelijkheid te bieden om het systeem te herzien als er een probleem is. Misschien is dat iets wat bekeken moet worden, de AVG wordt geherevalueerd en misschien moet men in dat kader ook de plaats van het IVC herevalueren.
Er is een punt waar ik sterk achter sta. De basisbeginselen moeten uiteraard in wetten staan, in door het Parlement goedgekeurde regelgeving. Men kan echter de details niet regelen in wetten want dan gaat men nuttige operationele zaken tegenhouden. Er moet dus een vertrouwensrelatie zijn, met rapportering en transparantie. Vandaag zijn alle beslissingen van het IVC publiek maar ik kan mij voorstellen dat het voor de burger niet eenvoudig is om te weten te komen wat er in een bepaalde situatie gebeurt. Dat is de reden waarom we de systemen maken die ik u getoond heb. Burgers kunnen dan in eenvoudige schema's zien waarheen de gegevens in bepaalde gevallen gaan. Ze hebben dan zicht op de inhoudelijke gegevens over hen die verwerkt worden.
Er is gevraagd of een burger toegang kan krijgen tot loggings over zichzelf. Dat is geen gemakkelijke vraag. Ik heb u gezegd dat er 1,4 miljard gegevensuitwisselingen zijn in de sociale sector en 18 miljard in de gezondheidssector. Als ik naar een ziekenhuis ga voor een colonoscopie, dan zijn er wel 10 mensen die toegang hebben tot die gegevens, namelijk het zorgteam binnen dat ziekenhuis. Ik heb dan misschien 1 van die mensen gezien, of zelfs niet, de anesthestist of iemand van het verplegend personeel. Wanneer mensen kunnen nakijken welk individu toegang heeft gehad tot die gegevens, dan moet men ervoor zorgen dat dit ook begrijpbaar is. Men moet er immers over waken dat men niet heel wat vertrouwen verliest.
Indertijd hebben we in de sociale sector toegang gegeven tot een zeer gedetailleerd niveau.
Een controleur van de RVA werd fysiek aangevallen omdat een geschorste werkloze vastgesteld had dat dit de persoon was die hem had betrapt. Ook daar moet er naar een evenwicht gezocht worden. Ik vind dat goed, maar men moet er ook voor zorgen dat daaraan geen negatieve effecten verbonden zijn.
Het is nuttig om eens een grondig debat te hebben over de grond van de zaak, zodat er vertrouwen is en er duidelijk kan afgesproken worden welke zaken fundamenteel in een wet moeten staan en welke zaken meer in uitvoeringsmaatregelen, inclusief eventuele beslissingen van het IVC. Op die manier blijft geen wantrouwen bestaan en komt men niet met halve waarheden in de pers. Dat was het voor de grote lijnen met betrekking tot Putting Data at the Center.
Monsieur Aouasti, comme vous le dites, Opera est un organe interne du SPF Stratégie et Appui. Il s'agit plus exactement du comité de gestion. BeDigital est un groupe informel qui s'est réuni à sept ou huit reprises et qui se compose de personnes réunies par Alexander De Croo pour essayer de faire évoluer la Belgique en matière de numérisation en général. De ce groupe sont nés certains projets, dont Putting data at the center. À l'époque, le projet n'était pas connu sous ce nom-là.
La seule partie opérationnelle que j'ai connue est le projet Best, qui est en réalité une source authentique des adresses en Belgique, qui ne contiennent pas de données à caractère personnel. Le secteur social en fait usage également; c'est dans son intérêt. Vous savez par exemple que certaines invitations à la vaccination ne sont pas envoyées aux bonnes adresses. La source authentique des bonnes adresses est donc un outil extrêmement important.
Depuis 2017 ou 2018, ce projet est inspiré de la directive européenne Inspire. Il appartient à chaque pays de régler les modalités y afférentes. Il en est également fait usage dans le secteur social. À ma connaissance, c'est le seul projet concret qui a été mis en œuvre sur ce plan-là.
Over mijn tijdsgebruik, ik werk inderdaad nogal veel. U kunt dat op mijn website zien. Maar ik heb daar geen probleem mee. Ik heb heel veel voldoening van wat er gerealiseerd wordt.
Op dat fake news heb ik gereageerd omdat het artikel zoals het geschreven was verschillende fouten bevatte. Over verschillende zaken was het compleet onjuist. De inhoud was niet juist. De betrokkenheid van Smals was niet juist, en het was al zeker niet de bedoeling aan profilering te doen zonder enige vorm van wettelijke regeling of van controle.
Het IVC is bij mijn weten trouwens ook nooit betrokken geweest, noch de kamer Sociale Zekerheid en Gezondheid, noch de kamer Federale Overheid, bij dat project. Ik ben er ook zeker van dat wanneer daar met persoonsgegevens gewerkt zou worden, dit zou worden voorgelegd.
Wat Smals betreft, hoe werken wij? Ik heb u al aangegeven wat er aan overheidsopdrachten gebeurt. Er staat in artikel 30 van de wetgeving op de overheidsopdrachten dat wanneer een orgaan dat volledig onder controle van de overheid staat, en dat voor 80 % door overheidsmiddelen gefinancierd wordt, en hier gaat het om 100 %, de leden van dat orgaan wanneer zij opdrachten geven aan die vereniging, geen procedure voor overheidsdrachten moeten volgen.
Er mag geen concurrentievervalsing zijn. Een overheidsdienst of een openbare instelling van de Sociale Zekerheid, beslist een project volledig zelf te doen, met eigen mensen, of beslist een project te laten doen met behulp van Smals, of beslist zich tot de markt te wenden. Als die dienst of instelling zich tot de markt wendt, met een lastenboek, mag Smals daar niet op antwoorden. Dat doen wij ook nooit, want dat zou concurrentievervalsing zijn.
Een andere regeling bepaalt immers dat op de toegevoegde waarde die Smals levert voor haar leden, geen btw moet worden betaald. Dat zou concurrentievervalsing zijn. Dat kan dus niet; dat mag niet en dat gebeurt ook niet.
Wanneer Smals een beroep doet op derden, moet zij de regelgeving inzake overheidsopdrachten toepassen.
Dat is de manier waarop het systeem werkt. Ik heb u al aangegeven dat het om een werkzaam en wettelijk systeem gaat, dat ook Europeesrechtelijk wettelijk is. Over de in-houseregelgeving bestaan arresten van het Europees Hof en bestaan richtlijnen. Zoals u weet, is dat een omzetting. De regelgeving inzake overheidsopdrachten is vooral Europeesrechtelijk en wordt omgezet naar Belgisch recht. Dat zijn dus zaken die werken.
Ik herhaal dat u kan zien dat alles wat Smals ontwikkelt, in open source staat in een ReUse Catalogue. Alles wat wij doen met overheidsmiddelen, bieden wij dus aan, zodat iedereen privé en andere overheidsinstellingen dat kunnen gebruiken.
Wij hebben onder de vorige regering de vraag gekregen om elk jaar twintig procent te besparen, ook op ICT-kredieten. Dat is alleen maar mogelijk als naar schaaleffecten, samenwerking en hergebruik wordt gegaan. Met de G-Cloud hebben wij ervoor gezorgd dat wij van veertig naar vier datacenters zijn gegaan, wat veel minder kostelijk is. Wij hebben er ook voor gezorgd dat de monitoring 24/7 door een equipe kon gebeuren van vijftien medewerkers, zijnde drie ploegen van drie medewerkers die acht uur monitoren gedurende 24/7 per week en twee ploegen die hetzelfde doen in het weekend.
Op die manier kunnen wij dat op een intelligente manier terugbrengen naar 15 mensen in plaats van dat er 80 tot 90 mensen van wacht zijn en moeten opvolgen. Niet meer iedereen moet een eigen infrastructuur hebben. Zo heeft bijvoorbeeld de RSZ piekmomenten, waarop er twee keer per kwartaal tien dagen RSZ-aangiften binnenkomen. Als de werkgevers bij een sociaal secretariaat zijn aangesloten, krijgen ze twintig dagen meer en hebben zij daarvoor dus een maand de tijd.
Het vierde kwartaal 2020 komt binnen tussen 20 en 31 januari 2021 en tussen 10 en 20 februari 2021. Die 20 dagen van de 90 heeft de RSZ dus capaciteit op piekniveau nodig. Die 70 andere dagen heeft ze dat niet nodig en kan men die capaciteit voor anderen gebruiken. Dat is zoals bij een elektriciteitsmaatschappij. Niet iedereen heeft een windmolenpark in zijn tuin staan om voldoende elektriciteit te hebben voor als op zaterdag al uw huishoudtoestellen tegelijk draaien. Nee, men neemt af wat men nodig heeft en betaalt daarvoor.
Men kan datzelfde doen voor IT, computercapaciteit gebruiken en delen. Door dat te doen, hebben wij het aantal servers en het aantal softwarelicenties dat we nodig hadden, fors kunnen doen dalen en hebben we door samen te werken die 20 % besparingen kunnen realiseren zonder dat we hebben moeten raken aan de inhoudelijke toepassingen. Men heeft dus een orgaan nodig waar iedereen samen rond de tafel zit, in vertrouwen zaken doet en waar men zaken kan hergebruiken. Ik weet niet hoe men dat zou kunnen organiseren als men niet zo'n vereniging heeft.
Als vandaag de FOD Financiën zijn drukdienst uitleent aan een andere FOD en daar inkomsten voor krijgt, dan gaat dat niet naar de werkingsmiddelen van de FOD Financiën. Dat remt dus samenwerking, kostendeling en besparingen af. Het is ook een enorm middel geweest om, zoals ik daarnet ook al zei, te responsabiliseren en knowhow binnen te brengen in de overheid rond informatiesystemen. Dat is niet zo evident geweest. Dertig jaar geleden hing iedereen vast aan één mainframeleverancier. Het Rijksregister is pas twee of drie jaar geleden overgegaan van een mainframe van een bepaalde firma naar wat wij noemen een service-oriented architecture met servers. Als men kijkt naar de budgetten die nodig zijn, ziet men dat die door vier werden gedeeld.
Ik ga ervan uit dat wij niet in de eerste plaats moeten investeren in de ijzerwinkel, al ik het zo mag noemen, maar dat wij moeten investeren en ervoor zorgen dat wij goede diensten hebben voor burgers en ondernemingen en dat wij dat betreft, goed moeten samenwerken. Smals is eigenlijk niet meer dan een vehikel. Ik heb echt – dat heeft ook geen enkele zin – niet de hand in alles waarvoor mensen die op de payroll van Smals staan, worden uitgestuurd naar instellingen, laat staan in alles waarvoor consultants die worden aangetrokken voor kaderovereenkomsten of opdrachtencentrales, worden gebruikt in de verschillende instellingen die daar gebruik van maken. Dat hoeft niet en heeft ook geen enkele zin.
Er waren nog een paar ad-hocvragen. Ik heb twee jaar geleden een presentatie gegeven – zij staat op de website en ik kan ze u ook bezorgen – in de Senaat over de ethische aspecten van artificiële intelligentie. Dat was mijn oorspronkelijk onderzoeksdomein toen ik ben afgestudeerd. Ik heb zelf nog expert system shells, die het denken van een jurist probeerden te implementeren, ontwikkeld en ook zelflerende systemen met feedback.
Daar zijn inderdaad wel heel wat zaken, maar, zoals aangegeven, zal dat internationaal moeten worden bekeken. Daar zullen systeemwaarborgen moeten in komen. Dat zijn vaak zelflerende systemen die zichzelf bijsturen en heel complex zijn. Daar zullen ethische principes en maatregelen by design moeten worden ingestoken. Als u daar meer over wilt weten, verwijs ik naar een volgende gelegenheid of naar wat ik daarover heb gezegd in de Senaat.
Er was nog een ad-hocvraag over QVAX. Er is geen tweestapsverificatie omdat we het laagdrempelig wilden houden. Wanneer iemand zich aanbiedt voor een vaccinatie in een vaccinatiecentrum wordt zijn identiteit wel gecontroleerd met zijn elektronische identiteitskaart. Als hij niet de juiste persoon is en dus identiteitsfraude heeft gepleegd, zal hij normaal niet gevaccineerd worden.
Ik heb nooit gezegd dat de Gegevensbeschermingsautoriteit een rem is op wat nodig is voor de bestrijding van COVID-19. Ik vind wel dat het in zo'n situatie beter zou zijn dat de Gegevensbeschermingsautoriteit ook mee aan tafel zou zitten om die evenwichten te zoeken in crisissituaties. Ik heb gelezen dat er soms wordt verweten dat ze volledig onafhankelijk moet zijn. We leven in een reële wereld. Toen we begonnen zijn, helemaal in het begin, met de strijd tegen corona met een werkgroep die minister De Backer had opgericht, Data & Technology against corona, werden op heel korte termijn apps en systemen goedgekeurd voor de vereiste teleconsultatie.
Dat was nodig, want men moest mensen fysisch bij de dokter weghouden. Daar was dan de aanwezigheid van de voorzitter van de GBA, met goede bedoelingen om de evenwichten van de tekentafel in te brengen en er aandacht voor te hebben. Door het directiecomité van de GBA werden toen goed op tijd richtlijnen uitgewerkt, vooraleer Europa daarmee kwam, waarmee rekening moest worden gehouden bij het uitwerken van dergelijke systemen, met gegevensminimalisering enzovoort. Dat past in wat ik heb gezegd in het begin, over de evenwichten: het is goed dat die mensen mee aan tafel zitten, zonder dat men dit moet zien als een beïnvloeding en manipulatie of wat ook. Als er in de vorige privacycommissie complexe dossiers waren, werd dat op een gemakkelijkere manier aanvaard. Ik denk dat dit een goede zaak zou zijn, ook naar die evenwichten van recht. Ik denk inderdaad dat er geen hiërarchie is tussen grondrechten.
Ik hoop op het belangrijkste te hebben geantwoord. Ik zou het zeer goed vinden wanneer we over de werking van een aantal zaken in het Parlement grondiger zouden kunnen praten, preventief en proactief. Het heeft geen zin evenwichten te zoeken zonder dat er vertrouwen of transparantie is.
De voorzitter: Bedankt voor het beantwoorden van de vragen. Dit debat is inderdaad nog niet afgesloten en wordt voortgezet.
01.12 Nabil Boukili (PVDA-PTB): Monsieur Robben, je vous ai posé la question de savoir si vous étiez au courant de ce projet "Putting Data at the Center" et si la Smals avait été impliquée.
Votre réponse à cette question n'est pas très claire. En effet, vous avez dit qu'un organe informel avait été mis en place et que ce projet en découlerait peut-être, mais que vous n'aviez pas connaissance de tous les projets. Vous avez également dit au sujet des révélations du journal Le Soir, que celui-ci a confirmées suite à votre réaction, qu'il s'agissait de fake news. Nous sommes donc en droit de croire que vous disposez d'un plus grand nombre d'informations que celles qui figurent dans l'article.
En résumé, d'un côté, vous dites que vous ne pouvez pas être au courant de tout en laissant subsister un flou et, d'un autre côté, vous affirmez que ce qui figure dans la presse est faux.
01.13 Frank Robben : Oui.
01.14 Nabil Boukili (PVDA-PTB): Je souhaite simplement savoir si vous étiez au courant de ce projet puisque vous affirmez que ce qui est dit dans l'article est faux? La Smals était-elle impliquée dans ce projet? J'attends de vous une réponse claire, que vous me répondiez par oui ou non.
Je vous ai clairement dit que j'étais une des personnes présentes au sein du groupe Be Digital. Je peux dire que les concepts, sans que ce projet ait reçu ce nom, étaient définis par ce groupe. Ce n'étaient pas les concepts qui étaient dans la presse. Ce n'était pas un système de profiling des gens, ce n'était pas un système où étaient centralisées des informations mais un système d'open data. Les citoyens, quand un événement se passe dans leur vie, veulent avoir des services intégrés. Quand un enfant est né, il faut éviter de devoir faire une déclaration à la commune, une déclaration à la caisse d'allocations familiales, d'encore devoir faire connaître la naissance à Kind & Gezin ou à l'ONE. Un enfant est né une fois.
01.15 Nabil Boukili (PVDA-PTB): Je suis tout à fait d'accord; Il faut juste un cadre légal pour cela.
01.16 Frank Robben: Bien sûr, et ce cadre légal existe dans le secteur social depuis 1990. En effet, le principe de collecte unique des données figure dans la loi de la BCSS depuis 1990, et dans la loi "Only Once" qui a été faite par le service Simplification administrative, plus tard, pour le reste. Oui, je suis derrière ces concepts. Non, je ne suis pas à la base de ce projet spécifique. Non, ce projet n'était pas initié par la Smals. C'est la raison pour laquelle j'ai qualifié les informations parues dans la presse de fake news.
Je ne vais pas mentir. Comme je vous l'ai indiqué, il se peut très bien – et ce sera sans doute le cas – que des consultants qui ont travaillé sur ce projet sont des gens qui ont été sélectionnés par BOSA sur la base des marchés publics, que la Smals a mis dans le marché. Mais comme je vous l'ai dit, je ne contrôle pas toutes les centrales d'achats qui sont utilisées par toutes les institutions. Ce n'est pas le cas, donc je ne vais pas mentir.
01.17 Nabil Boukili (PVDA-PTB): Juste une petite réaction sur la loi de 1990. C'est une loi générale. Pour un traitement de données spécifiques, il faut une loi spécifique. Je pense qu'il faut une loi qui détermine le traitement des données avec les finalités, et ainsi de suite. Là vous me citez une loi qui est générale.
01.18 Frank Robben: Si vous lisez le RGPD, vous voyez qu'un certain nombre de choses doivent être mises dans un texte ayant force de loi. Quand vous allez regarder le considérant 41 de la loi sur le RGPD, il est clairement dit qu'en tenant compte du cadre institutionnel d'un pays, cette référence à une loi peut aussi être une loi au sens matériel.
C'est la grande discussion; c'est l'équilibre que je vous ai indiqué. Quelles sont les choses qu'on met dans une loi formelle votée par le Parlement? Je trouve que les finalités pour lesquelles on traite les informations, les grandes catégories de données, le responsable du traitement, etc. doivent figurer dans une loi formelle. Par ailleurs, pour tout ce qui est de l'opérationalisation, il faut faire attention.
Je vous ai donné un exemple et je vais vous le redonner. On a un contrat, dans un accord de coopération sur le testing contre le covid-19. On a détaillé tous les flux dans un accord de coopération. Demain, on constate qu'il y a des tests rapides qui ne passent pas via ce canal-là. Alors on est vus! Alors, on doit revenir! Soit, on ne fait pas de tests rapides; soit, parce que c'est un accord de coopération qui doit être changé, cela prend quelques mois, on va de nouveau avoir…
Je crois que décider d'une réglementation au sens formel pour les finalités de base pour lesquelles on peut utiliser les informations, c'est normal. Mais déterminer tous les aspects opérationnels de l'organisation de ce flux, je crois qu'il faut pouvoir faire cela dans des textes plus opérationnels.
Dans ma carrière, j'ai aussi vécu des situations où l'on s'était montré trop large dans la réglementation, parce que l'on voulait éviter de perdre du temps à tout changer. Tout le système d'autorisation d'accès au Registre national était auparavant réglé par des arrêtés royaux délibérés en Conseil des ministres. Les ouvertures étaient alors trop grandes. Ensuite, le Comité sectoriel du Registre national a peaufiné et davantage précisé le dispositif, si bien que les nouvelles finalités étaient réglementées sur ce plan-là.
Pour le reste, je suis tout à fait d'accord avec vous: la délégation doit s'organiser correctement, dans la transparence de l'information et en assumant une responsabilité devant le Parlement.
01.19 Nabil Boukili (PVDA-PTB): Puisque le dernier mot revient au Parlement, je vais en abuser. Monsieur Robben, vous confirmez qu'il faut une loi pour déterminer les finalités et la proportionnalité du traitement des données. Dans notre pays, dans notre Constitution, c'est soit une loi, soit un décret. On applique notre Constitution. Cela ne doit pas être quelque chose de large. Ce doit être quelque chose de matériel. Le CSI n'a pas cette compétence-là. Il ne peut pas ajouter une nouvelle finalité ou un nouveau transfert de données. Cela doit être fait par la loi.
Dans le projet que vous décrivez, il y a un problème, du fait qu'il y a une nouvelle manière de traiter et de croiser des données et qu'il n'y a pas de cadre législatif pour le faire. Comment se fait-il que dans les organes où cela a été traité, il n'a pas été porté à la connaissance du gouvernement ou du Parlement qu'un projet était en train de se mettre en place sans le cadre légal nécessaire? Comment se fait-il que nous, les parlementaires, nous l'apprenions par la presse? C'est pour cela que nous avons cette audition; toutes les explications qui sont données aujourd'hui le sont à la suite de sorties dans la presse. Sans la presse, nous n'aurions même pas ce débat. Je trouve que cette opacité, et le fait que vous n'interagissiez même pas avec l'institution compétente, qui est le Parlement, pour légiférer sur le cadre juridique nécessaire pour le traitement des données, c'est assez décevant.
Vous dites que qu'en termes de finalité et, selon moi, de proportionnalité, le traitement des données doit être déterminé par une loi. Mais le problème réside dans le fait qu'on ne sait pas quelles sont les finalités dont il est question dans ce projet.
Comme nous ne disposons pas des détails, à l'instar de mon collègue, je souhaiterais que les rapports de ces réunions nous soient communiqués afin que nous puissions savoir à quoi sert le traitement de ces données.
01.20 Frank Robben : Il va de soi qu'une institution publique n'a pas d'autres missions que celles qui lui sont confiées.
Het spreekt voor zich dat een openbare instelling geen andere missie heeft dan de missies die haar door de wet zijn toebedeeld. Uiteraard kan een overheidsinstelling, zoals een instelling van sociale zekerheid, nooit iets doen met gegevens die niet nodig zijn voor de uitvoering van haar opdrachten.
Het is echter wat anders als het gaat over de concrete organisatie ervan. Er bestaat wel degelijk regelgeving omtrent de kruispuntbank als dienstenintegrator. Ook bestaat er regelgeving op de FOD BOSA als dienstenintegrator. Regelgeving zegt dat geen enkele instelling gegevens mag verwerken buiten wat noodzakelijk is voor de uitvoering van haar opdrachten. Zoals ik al zei, het informatieveiligheidscomité kan geen doeleinden toevoegen aan instellingen. Dat moet krachtens een wet, decreet of ordonnantie vastgelegd zijn.
Wat kan het informatieveiligheidscomité wel kan doen? Als een instelling A een opdracht heeft, waarvoor zij gegevens nodig heeft, terwijl instelling B over die gegevens beschikt en die rechtmatig mag verwerken, kan het nagaan of met toepassing van het only-onceprincipe instelling A, die gegevens nodig heeft, ze bij instelling B mag ophalen, indien het proportioneel is en met inachtname van veiligheidsmaatregelen. Dat is het enige; niets anders.
Als er twijfel bestaat over de manier waarop dat gebeurt, dan denk ik dat het goed is dat er daarover eens een debat ten gronde plaatsvindt, waarbij nagegaan wordt of de regelgeving over het informatieveiligheidscomité verfijnd kan worden.
Als u wil dat mensen automatisch rechten worden toegekend en dat gezondheidsgegevens gedeeld kunnen worden met het oog op kwalitatieve zorgverstrekking, dan zullen er ook systemen moeten bestaan waarin die gegevens veilig uitgewisseld kunnen worden. Dat staat in de doeleinden van de verschillende instanties. Die modaliteiten kunnen uitgewerkt worden door zo'n orgaan, dat multidisciplinair is en dicht bij de realiteit staat.
Ik vrees problemen wanneer men dat allemaal in formele regelgeving giet. De doelstellingen van de overheidsinstellingen moeten in formele regelgeving staan maar niet de mate van operationalisering, anders zal men de vooruitgang onnodig hypothekeren. De modaliteiten moeten volgens mij vastgelegd kunnen worden door organen die daarvoor aangesteld zijn. Dat wordt ook aangeraden op Europees vlak.
01.21 Nabil Boukili (PVDA-PTB): Madame la présidente, je n'ai pas de nouvelle question. Je voulais simplement ajouter que l'on parle de quelque chose de très important, à savoir le traitement de données concernant la vie privée des gens. Personnellement, je fais confiance à un texte de loi et non à des institutions qui vont réglementer. Si un nouvel élément devait être mis en place dans le but d'une facilitation (je ne suis pas contre le futur), je suis d'accord avec les objectifs que vous avancez, mais ils doivent être encadrés par la loi et non par des régulateurs (CICI ou autres). Je fais confiance à la loi, je le répète, et non à des régulateurs qui ne sont pas encadrés par une loi.
01.22 Nathalie Gilson (MR): Madame la présidente, je voudrais interroger M. Robben au sujet du projet BeSt Address, car à sa connaissance, il est le seul projet concret établi sous l'umbrella, dans le giron, de ce projet Putting Datat at the Center. Cela a été discuté au sein de ce groupe B-Digital ? de différentes administrations.
Étant donné que ce projet BeSt Address consiste en un échange de données, des fusions ou des intégrations de données provenant, d'une part, du Registre national et, d'autre part, de données urbanistiques concernant les lieux et bâtiments existants, peut-il nous indiquer la base légale qui permet cet échange de données présidant à la mise en place de ce système BeSt Address?
Quand je relis la loi du 5 septembre 2018 instituant le Comité de sécurité de l'information, j'ai l'impression – mais je ne me suis pas encore penchée sur les travaux préparatoires – qu'il faut une délibération du Comité de sécurité de l'information pour tout ce qui concerne les communications de données de la Banque-carrefour de la sécurité sociale à d'autres institutions publiques. Je pense que c'est ce qui est fait. Sur la portée de ces délibérations, la loi a-t-elle prévu ce type de délibérations pour la communication de données à caractère personnel, relatives à la santé par exemple, plutôt pour le caractère opérationnel de cette communication des données? Comment doivent-elles être transmises? Doivent-elles être cryptées? Ces délibérations ne doivent-elles pas aller jusqu'à autoriser de nouvelles transmissions de données? Ce terme "communication" est celui utilisé dans la loi de 2018 et pas le terme "transmission".
En l'occurrence, une des impressions qu'on peut avoir dans notre Constitution (?) actuelle, c'est que finalement les délibérations font plus que de prendre des dispositions techniques pour opérationnaliser des transmissions de données qui doivent par ailleurs, en vertu du RGPD, de la loi sur la protection de la vie privée et de la Constitution, être autorisées par une loi. En effet, une délibération n'est pas une loi. Contrairement à un accord de coopération qui peut être considéré comme une loi, une délibération du Comité de sécurité de l'information ne donne pas lieu à un débat parlementaire.
Lors des auditions dans le cadre de l'avant-projet de loi Pandémie, il nous a même été précisé que le fait de ratifier une décision d'autorisation de transmission de données par une loi n'est pas suffisant. Il faut vraiment qu'il y ait ce débat parlementaire car on touche à quelque chose de tellement essentiel par rapport à la vie privée, à l'intégrité de la personne que, dès lors qu'on autorise de nouveaux traitements, de nouvelles transmissions de données, un débat parlementaire doit impérativement avoir lieu entre les élus qui représentent les citoyens.
Vous qui semblez aimer la Constitution, cela rejoint des principes constitutionnels. Or, dans notre pays, ce sont des délibérations du Comité de sécurité de l'information. Ce ne sont pas des lois. Même s'il est exact que les membres de ce comité sont désignés par le Parlement, ils ne sont pas pour autant des élus. Ces délibérations peuvent être "confrontées" – c'est le terme repris dans la loi à l'article 39, § 2, 2° – aux normes juridiques supérieures. L'Autorité de protection des données peut donc formuler des recommandations et demander au Comité de sécurité de l'information de reconsidérer cette délibération mais il n'y a aucune obligation de la part dudit comité de modifier pour autant sa délibération.
Finalement, quel est le recours pour le citoyen qui n'est pas d'accord avec des délibérations du Comité de sécurité de l'information?
De nouveau, si le citoyen n'est pas d'accord avec la manière dont les données vont être communiquées d'une institution à une autre, cela reste technique. Or, dans la pratique, on constate que ces délibérations jouent le rôle que la réglementation accorde en principe à la loi.
C'est une question à laquelle vous ne devez pas nécessairement répondre, puisque vous nous dites simplement appliquer la loi. Or, je m'interroge sur l'extension de l'interprétation dans l'application de la loi. Autrement dit, n'a-t-on pas étendu la manière d'interpréter la loi, étant donné que le Comité de sécurité de l'information décide de mesures qui devraient normalement être réglées par voie légale? Bref, n'allez-vous pas trop loin?
Enfin, quelle est la base légale pour la fusion des données dans le projet "BeSt Address"?
Je suis désolée que mon intervention ait été un peu longue, mais cela rejoint le problème soulevé notamment par M. Aouasti. En effet, je me demande si nous ne devrions pas prévoir une deuxième réunion.
01.23 Frank Robben: BeSt est un répertoire officiel des noms de rues, incluant les numéros et les codes postaux. Il s'agit d'une source authentique et non de données à caractère personnel. Ce sont des Open Data, des données qui sont disponibles. Cela permet d'éviter les mauvaises adresses. Ce n'est ni plus ni moins que cela. Je peux vous communiquer l'adresse du site pour plus d'informations.
Pour le Comité de sécurité de l'information (CSI), j'illustrerai ma réponse par un exemple très concret. Je vous ai dit que le CSI ne donnera jamais de mission ni ne déterminera de finalité. Par exemple, la Flandre décide dans le cadre de la lutte contre la covid, que les travailleurs en situation de chômage technique pour des raisons liées à la crise sanitaire, reçoivent une prime de 200 euros. Deux possibilités s'offrent: soit vous demandez à tous de venir prouver que chacun est bien dans cette situation, soit (et la Flandre le demande) vous demandez à l'ONEM si l'organisme peut communiquer les informations relatives aux personnes dans cette situation. Le CSI va, premièrement, vérifier l'existence de cet autre texte juridique qui règle cet avantage. Ensuite, il vérifiera que la Flandre recevra bien les informations relatives aux personnes vivant en Flandre et non pas celles des personnes vivant en Wallonie ou à Bruxelles. Troisièmement, il vérifiera que les données transmises sont celles requises pour l'attribution de la prime. Et pour finir, il vérifie que la procédure se déroule bien de manière sécurisée. Mais, ce n'est pas le CSI qui décide que la Flandre octroie une prime de 200 euros aux personnes en chômage technique.
Lorsqu'une mission dévolue à une instance par une réglementation et que cette instance, pour exécuter cette mission, a besoin d'informations complémentaires disponibles auprès d'une autre institution, le CSI intervient pour vérifier le respect des conditions permettant la communication des informations. Comme le CSI se réunit tous les mois, les informations peuvent être communiquées dans un délai d'un mois et demi ou deux. Pour cela, il faut systématiquement réglementer en détail, non pas les conditions d'octroi de la prime en question, mais l'échange d'informations qui prend beaucoup plus de temps.
Je peux vous citer 80 exemples que j'ai ici devant moi de toutes les situations de crise sanitaire, dans le cadre desquelles des CPAS, des communes ou des Régions ont fait des demandes de ce type. Telle est l'utilité de la concrétisation. C'est très transparent, c'est public, mais je suis tout à fait d'accord sur le fait qu'il serait bénéfique pour la confiance de tenir une discussion de fond sur ce qu'un Comité de la sécurité de l'information peut ou ne peut pas faire.
Ses attributions sont réglementées dans une loi, mais je pense qu'il y a des soupçons selon lesquels cela va beaucoup plus loin et c'est mauvais pour la confiance.
La présidente: Dank u wel. Collega's, ik
denk dat we hier voorlopig kunnen afsluiten?
01.24 Nathalie Gilson (MR): Monsieur Robben, je reviens vers vous car, effectivement, on a des discussions très intéressantes, mais qui débordent du sujet, car votre exposé de départ était beaucoup plus large. Pour revenir au projet Putting Data at the Center, puisque vous dites que vous n'étiez pas au courant, si ce n'est du projet BeSt Address, qui notre commission devrait-elle entendre, à votre avis? Tel était, en effet, l'objet de notre démarche.
Faudrait-il entendre ce groupe Opera mentionné ou les membres de BE Digital, qui apparemment n'existe plus vraiment? Faut-il entendre les membres du G-Cloud Strategic Board? Cela m'intéresserait de savoir qui la commission devrait entendre pour prendre connaissance des informations sur le projet Putting Data at the Center.
01.25 Frank Robben: Honnêtement, j'ai lu le document que Ben Smeets vous a transmis, et qui contient de nombreuses informations. Il s'agit d'un projet qui a été, pour une grande partie, tiré par le BOSA-SPF Stratégie et Appui, avec les informations que Ben Smeets vous a communiquées. Le document est assez complet.
01.26 Nathalie Gilson (MR): Je voulais encore obtenir une information. Lorsqu'on a discuté de la possibilité pour le citoyen de visualiser qui a eu accès à ces données, pas uniquement en théorie mais dans les faits, vous avez dit que cela pouvait poser des problèmes et qu'il fallait trouver un équilibre. En effet, dans le cas de chômeurs qui avaient été radiés, certains agents ont été menacés physiquement après que les personnes concernées ont eu la possibilité de visualiser quel agent avait pris la décision sur la base de cet accès.
Je pense que l'on pourrait limiter la visibilité à l'institution dans un premier temps. C'est l'institution elle-même qui doit savoir en interne quels agents ont eu accès aux données. La transparence exige que le citoyen puisse à tout moment consulter une plateforme dans laquelle il voit quelles institutions et quels agents (sans mentionner leur nom) ont accédé à ses données, dans quel but et qu'il puisse aussi rectifier celles-ci. Je pense que vous êtes vraiment la personne qui peut réfléchir à ce système pour améliorer la confiance.
Il y a des pays qui vont jusqu'à publier les algorithmes. Cela nous a été dit en audition sur l'avant-projet de loi commission de l'Intérieur. Là aussi, cela permettait de renforcer la confiance du citoyen en voyant quels algorithmes sont utilisés pour les croisements de données. Qu'en pensez-vous?
01.27 Frank Robben: On a des logins de bout en bout. On sait à chaque fois déterminer qui a fait quoi. Seulement, là aussi, il faut trouver un équilibre entre donner l'information nécessaire à une personne pour savoir qui a accédé à quoi, sans avoir les désavantages. Je vous ai aussi donné les exemples pour les hôpitaux, etc. Je suis tout à fait prêt à réfléchir. D'ailleurs, certaines informations ne sont pas consultées, mais sont envoyées d'office. Par exemple, l'ONSS envoie toutes les informations sur les salaires au compte Pension. Ce sont des processus standardisés. C'est documenté et les gens le savent. Pour les accès spécifiques, pas de souci, on peut y réfléchir. Pour les algorithmes d'intelligence artificielle, je suis tout à fait d'accord sur l'importance de rendre publics certains algorithmes. Mais ces algorithmes sont self-learning.
Van patroonherkenning met het oog op fraudebestrijding kan ik u ook voorbeelden geven. U vindt daarover ook uiteenzettingen op mijn website. Die zaken sturen zichzelf permanent bij. Daar wordt op een bepaald moment geen foto van genomen om aan te duiden dat het dat dan is of niet. Er wordt permanent dankzij zelfleringsmechanismen bijgestuurd.
Daarvoor is heel gespecialiseerde kennis nodig. Daarom pas inderdaad een ethisch debat over artificiële intelligentie.
Het is inderdaad nodig dat het gebruik van algoritmes transparant is, zeker wanneer dat aanleiding geeft tot de beoordeling van mensen.
Een andere zaak is de vraag of de fraudebestrijdingsmechanismen in detail openbaar moeten worden gemaakt, zodat mensen die willen frauderen, ook weten waarop wel en waarop niet wordt gezocht. Op dat vlak moet er gestreefd worden naar een evenwicht.
01.28 Nathalie Gilson (MR): Madame la présidente, le dernier mot revenant toujours au Parlement, permettez-moi d'intervenir encore un instant.
Monsieur Robben, je vous remercie pour vos commentaires. Vous avez donné l'exemple d'une décision visant à octroyer une prime aux travailleurs en chômage technique durant la période corona. Je maintiens que quelle que soit l'instance d'élus qui la prend, c'est cette disposition législative qui doit déterminer quelles sont les données qui doivent être traitées, transmises avec une finalité précise, en l'occurrence l'octroi d'une prime. La délibération du Comité de sécurité de l'information intervient par la suite pour la mise en œuvre.
Je comprends bien votre volonté selon laquelle les choses doivent aller vite en évitant d'éventuels blocages, etc. Mais force est de constater que, par exemple, l'article 22 relatif au registre des entreprises dans le cadre du contrôle corona pose des problèmes d'ordre juridique. Cela démontre que le traitement des données doit vraiment rester dans le giron d'une assemblée d'élus et non d'une assemblée administrative. Nous rediscuterons certainement de cette question ultérieurement.
De voorzitster: We gaan hier afsluiten, mevrouw Gilson. We hebben nog een klein deeltje van de vergadering in gesloten zitting. Ik dank de heer Robben om aanwezig te zijn en voor zijn uiteenzetting.
De openbare commissievergadering wordt gesloten om 13.25 uur.
La réunion publique de commission est levée à 13 h 25.