Eind 2015 werd het KB (van 6 december 2015) betreffende de consulenten voor de veiligheid en de bescherming van de persoonlijke levenssfeer en het platform voor de veiligheid en de bescherming van de gegevens gepubliceerd (BS 28 december 2015). Dit KB is van groot belang voor de praktijk van politiediensten. Overeenkomstig artikel 20 treedt het in werking op 1 maart 2016. Hierna lichten we dit besluit kort toe.
Nadere uitvoering van artikel 44/3 Wet Politieambt
Dit KB voert artikel 44/3 Wet Politieambt verder uit dat werd ingevoerd door artikel 9 Wet politioneel informatiebeheer.
Voor een goed begrip van het KB zelf stippen we aan dat artikel 44/3, §1, derde lid WPA bepaalt dat elke politiezone en elke directie van de federale politie die persoonsgegevens en informatie bedoeld in artikel 44/1, met inbegrip van deze ingevoegd in de gegevensbanken bedoeld in artikel 44/2, verwerkt, een consulent voor de veiligheid en de bescherming van de persoonlijke levenssfeer (verder ‘consulent’) aanwijst (of moet aanwijzen). Deze consulent kan zijn functies uitoefenen voor verschillende lokale politiezones of voor verschillende directies van de federale politie. Op het vlak van taken bepaalt de wet dat de consulent meer in het bijzonder belast wordt met 1° het verstrekken van deskundige adviezen inzake de bescherming van de persoonlijke levenssfeer en de beveiliging van persoonsgegevens en informatie en inzake hun verwerking, 2° het opstellen, het toepassen, het bijwerken en het controleren van een beleid inzake de beveiliging en de bescherming van de persoonlijke levenssfeer en 3° de uitvoering van de andere opdrachten inzake de bescherming van de persoonlijke levenssfeer en de beveiliging die door de Koning worden bepaald of die hem respectievelijk door zijn korpschef of zijn directeur worden toevertrouwd. Daarnaast wordt de consulent ook uitdrukkelijk belast met de contacten met de Commissie voor de bescherming van de persoonlijke levenssfeer (verder ‘CBPL’). De wet benadrukt dat de consulent zijn taken volledig onafhankelijk uitoefent en rechtstreeks verslag uitbrengt aan de korpschef (van de lokale politie indien hij tot de lokale politie behoort) of aan de directeur (indien hij tot de federale politie behoort). De manier waarop de consulent zijn opdrachten uitvoert, kan nader worden bepaald bij KB.
Daarnaast bepaalt artikel 44/3, §2 WPA dat er een platform wordt gecreëerd, genaamd “platform voor de veiligheid en de bescherming van de gegevens”. Dit platform wordt belast met het waken over de gecoördineerde realisatie van het werk van de consulenten voor de veiligheid en de bescherming van de persoonlijke levenssfeer. De samenstelling en de nadere werkingsregels van dit platform worden door de Koning bepaald”.
Dit KB is bedoeld om deze beide wetsbepalingen verder uit te werken.
Het verslag aan de Koning bij dit KB benadrukt dat technologische vooruitgang niet alleen nieuwe perspectieven biedt in het dagelijkse werk van politiemensen, maar ook leidt tot nieuwe risico’s voor de veiligheid en de persoonlijke levenssfeer van het individu. Onder invloed van hervormingen binnen Europese Unie wordt daarbij meer aandacht besteed aan structurele, organisatorische, fysieke en technische maatregelen. Dat leidt met name tot de aanstelling van een consulent voor de veiligheid en bescherming van de persoonlijke levenssfeer. Algemeen is de idee dat deze consulent de bevoegde overheid (korpschef bij lokale politie en directie bij federale politie) bijstaat en met name adviezen verstrekt over alle aspecten van informatieveiligheid en bescherming van de persoonlijke levenssfeer. De opdrachten zijn niet alleen beperkt tot het aspect veiligheid of beveiliging. Inspiratie voor deze functie en figuur werd gevonden in reeds lang bestaande regelgeving, alsook in op til staande hervormingen op Europees vlak.
Het KB is onderverdeeld in 2 grote hoofdstukken. Hoofdstuk II heeft betrekking op de consulent voor de veiligheid en de bescherming van de persoonlijke levenssfeer, terwijl Hoofdstuk III regels bevat over het platform voor de veiligheid en de bescherming van de gegevens.
De consulent voor de veiligheid en de bescherming van de persoonlijke levenssfeer
Een eerste reeks bepalingen betreft de vereisten waaraan de consulent moet voldoen, alsook de praktische aspecten van zijn of haar functie. Zij komen aan bod in de artikelen 3 tot en met 5. Het statuut van de consulent wordt nader geregeld in de artikelen 6 tot en met 8, terwijl de taken nader omschreven worden in de artikelen 9 tot en met 15.
De vereisten waaraan een consulent moet voldoen, worden opgesomd in artikel 3. Hij of zij moet blijk geven van persoonlijke en professionele kwaliteiten, in het bijzonder van kennis in het domein van de veiligheid van informatiesystemen en de bescherming van gegevens.
De functie van consulent zelf mag gecumuleerd worden met andere functies, voor zover de consulent over de nodige tijd beschikt om zijn opdrachten als consulent uit te oefenen. Wel is het zo dat bij de uitoefening van de opdrachten er geen belangenconflict mag zijn tussen enerzijds de functie als consulent en anderzijds andere uitgeoefende functies. Hier wordt onder meer de controleopdracht beoogd, waarbij het evident is dat de consulent niet tegelijkertijd “controleur” en “gecontroleerde” kan zijn.
Belangrijk is dat de opdrachten die de wet en het KB opdragen, door een of meerdere personen kunnen worden waargenomen. In haar advies bij dit KB stelde ook de CBPL dat het “weinig waarschijnlijk en weinig wenselijk is dat het geheel van basiskennis, zowel op juridisch gebied als voor de technische aspecten, wordt beheerst door een enkele natuurlijke persoon”.
Tot slot wordt voorzien dat de bevoegde overheid de gegevens van haar consulent meedeelt aan de CBPL en het Controleorgaan. Het is niet geheel duidelijk of dit een waarborg is om de positie van de consulent te vrijwaren dan wel een formaliteit.
Inzake statuut wordt de nadruk gelegd op de volledige onafhankelijkheid bij de uitoefening van de opdracht. Dit houdt in dat de consulent geen enkele instructie krijgt en rechtstreeks rapporteert aan zijn bevoegde overheid, zijnde de korpschefs (voor de lokale politie) en de directeurs (voor de federale politie). Diezelfde overheden moeten erover waken dat de consulent zijn functie niet alleen onafhankelijk, maar ook doeltreffend kan uitoefenen. Daartoe moeten ze hem of haar beschermen tegen ongepaste beïnvloeding en/of druk van elkeen, zowel rechtstreeks als onrechtstreeks.
In dezelfde zin bepaalt het KB ook dat de uitoefening van de opdrachten geen belemmering mag vormen voor de loopbaan van de consulent.
Ook is er sprake van een vorm van ontslagbescherming. Voorzien is dat de overeenkomst met of de statutaire tewerkstelling van de consulent enkel kunnen worden beëindigd om redenen die vreemd zijn aan diens onafhankelijkheid of om redenen waaruit blijkt dat hij of zij niet bekwaam is op de opdrachten van consulent uit te voeren.
Een essentieel onderdeel van het statuut is de vertrouwelijkheidsplicht. De consulent moet, net als iedere persoon die hem of haar bijstaat, zich ertoe verbinden het vertrouwelijke karakter te bewaren van alle informatie waarmee hij of zij uit hoofde van zijn functie in contact komt. Hij of zij is zelfs verplicht om die vertrouwelijkheid te bewaren na de beëindiging van de functie.
Wat de taken betreft heeft de consulent, zo bepaalt artikel 2 van het KB, een algemene adviserende, stimulerende, documenterende en controlerende opdracht. In artikel 9 worden er een 7-tal taken van de consulent nader opgesomd. Dit gaat om het beheer van de vereiste documentatie, de zorg voor de sensibilisering, de bevordering van activiteiten ter evaluatie van risico’s, de zorg voor de interne toepassing van diverse wetten, de deelname aan het platform, het optreden als contactpersoon voor de uitoefening van de rechten van het individu ten aanzien van controleoverheden en de beantwoording van verzoeken van het Controleorgaan en van de CBPL.
De adviserende taak wordt nader omschreven in artikel 10. De adviezen worden zowel op eigen initiatief als op verzoek verstrekt en betreffen alle aspecten van de informatieveiligheid en de bescherming van de persoonlijke levenssfeer. Daarbij worden de vastgestelde gebreken schriftelijk meegedeeld, samen met de nodige adviezen ter voorkoming. Als de risico’s voldoende ernstig zijn, moet het advies, zo bepaalt artikel 12 van het KB, schriftelijk en gemotiveerd worden uitgebracht. Binnen de vereiste omstandigheden met een maximum van één maand deelt de overheid haar beslissing mee aan de consulent. Wijkt die beslissing af van het advies, moet ze worden gemotiveerd en schriftelijk worden meegedeeld.
Als het voor het beheer van problemen nodig is met andere partijen te overleggen, staat de consulent zijn overheid daarin bij.
Een belangrijke taak van de consulent situeert zich op het vlak van de analyse van risico’s. Dit neemt niet weg dat die analyse in eerste instantie een verantwoordelijkheid is van de bevoegde overheid, waarbij de consulent samenwerking verleent. Bijzondere aandacht moet daarbij gaan naar de risico’s die gevolgen kunnen hebben voor de veerkracht en beschikbaarheid van de netwerken en systemen en voor de authenticiteit, integriteit en vertrouwelijkheid van de informatie die op die manier toegankelijk wordt gemaakt en verzonden.
Een taak die klassiek aan (veiligheids)consulenten wordt toevertrouwd, is het formuleren van het beleid met betrekking tot de veiligheid en de bescherming van de persoonlijke levenssfeer. De consulent doet terzake een voorstel dat bedoeld is om te worden aangenomen door de bevoegde overheid (korpschef of directeur).
De consulent moet ook een (ontwerp van) peerjarenplan opstellen dat in de lijn ligt van het nationaal of zonaal veiligheidsplan en waarbij de doelstellingen en benodigde middelen worden bepaald. Dit ontwerp moet minstens jaarlijks worden herzien en, indien nodig, aangepast.
Tot slot stelt de consulent ook, minstens een keer per jaar, een globaal overzicht op van zijn activiteiten. Dat overzicht moet melding maken van de aan de consulent gerichte aanvragen en de verstrekte adviezen en aanbevelingen, controles en analyses.
Het platform voor de veiligheid en de bescherming van de gegevens
Een tweede onderdeel van dit KB is de oprichting van “het platform voor de veiligheid en de bescherming van de gegevens”.
Dit platform is samengesteld uit de consulenten die binnen de (lokale en federale) politie worden aangewezen. Eén van de taken die aan de consulenten worden opgedragen, is met name de deelname aan dit platform (zie artikel 9, onder punt 5 van het KB).
Verder wordt de werking van dit platform geregeld, zoals de mogelijkheid om werkgroepen op te richten en het nemen van de nodige initiatieven om de aanpak en het begrip de veiligheid en de bescherming van de persoonlijke levenssfeer eenvormig te maken. Er is voorzien dat het beroep kan doen op deskundigen die op deze terreinen gespecialiseerd zijn.
De leden moeten het nodige doen om in één of meerdere contactpunten te voorzien en in hun midden één of meerdere vertegenwoordigers aan te wijzen met het oog op vertegenwoordiging in het coördinatiecomité van de geïntegreerde politie.
Tot slot moet het platform, zoals gebruikelijk, een huishoudelijk reglement opstellen. Dit moet in het bijzonder de taken en werkingsmodaliteiten van het contactpunt en de vertegenwoordigers, alsook de andere werkingsmodaliteiten van het platform bepalen.
Conclusie
Dit KB zal in de praktijk verregaande gevolgen hebben voor de politiezones en -diensten. Ze moeten een nieuwe functie instellen en deze in hun werking integreren. In de mate dat het hier om een relatief nieuwe functie gaat, die ook in andere sectoren weinig toegepast wordt of voor de nodige problemen zorgt, is het duidelijk dat dit met de nodige groeipijnen zal gebeuren. We verwijzen daarbij naar de ervaringen van de lokale overheden met de figuur van de veiligheidsconsulent die niet onverdeeld positief zijn en vooral aanleiding lijken te geven tot problemen.
Dit KB is wellicht dan ook slechts de eerste stap in een lang proces dat moet leiden naar meer veiligheid én bescherming van gegevens.
