Wet Verwerking Persoonsgegevens Verwerking Persoonsgegevens

In dit hoofdstuk wordt de Wet Verwerking Persoonsgegevens Verwerking Persoonsgegevens ontleed met als doel te onderzoeken of de invoering van predictive policing mogelijk is binnen het kader van deze wet. Om dit omvangrijk gedeelte overzichtelijk te houden wordt er getracht om de wet zoveel mogelijk artikel per artikel te behandeld. Artikels die irrelevant zijn voor dit onderzoek worden niet vermeld. Waar nodig is worden er ook andere relevante wetgevende instrumenten, relevante rechtspraak of rechtsleer bijgehaald. Er wordt telkens een korte bespreking gemaakt van de bepaling, waarna deze meteen toegepast wordt op predictive

policing.

Niettegenstaande het feit dat deze wet met zijn 286 artikels vrij omvangrijk is, is er een duidelijke structuur aangebracht. Titel 1, “De bescherming van natuurlijke personen met

betrekking tot de verwerking van persoonsgegevens”, zet onder meer de algemene beginselen

uit de AVG uiteen. Titel 2, “De bescherming van natuurlijke personen met betrekking tot de

verwerking van persoonsgegevens door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de

136 _{Art. 1, lid 3 Privacyrichtlijn Politie-Justitie.}

137 _{https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=LEGISSUM%3Al14527.}

138 _{M.R. LEISER, B.H.M CUSTERS, “The Law Enforcement Directive: Conceptual Challenges of EU} Directive 2016/680”, European Data Protection Law Review, afl. 3, 2019, 367., Wetsontwerp

betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, Parl.St. Kamer 2017-18, nr. 3126/001, 66-67.

tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen de voorkoming van gevaren voor de openbare veiligheid” bevat de omzetting van de Privacyrichtlijn Politie-Justitie.

4.2.1.1 Toepassingsgebied

De voorafgaande titel van de Wet Verwerking Persoonsgegevens behandelt het toepassingsgebied van de wet. Hoewel deze wet verschillende onderwerpen regelt, heeft de wetgever ervoor geopteerd om dit toepassingsgebied voor de hele wet te laten gelden. Dit kan men afleiden uit de bewoordeling van artikel 2, eerste lid: “deze wet is van toepassing op…”. Titel 1, de uitwerking van de AVG, kadert volledig binnen dit toepassingsgebied. Voor Titel 2, die de omzetting van de Privacyrichtlijn Politie-Justitie bevat, werd er een specifiek toepassingsgebied bepaald.

Artikel 2 WVP bepaalt dat deze wet van toepassing is “… op elke geheel of gedeeltelijk

geautomatiseerde verwerking van persoonsgegevens, alsmede op elke niet-

geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen…”

Om dit toepassingsgebied ten volle te begrijpen, dienen we enkele definities te bekijken. Artikel 5, eerste lid van deze Wet Verwerking Persoonsgegevens bepaalt dat de definities van de AVG van toepassing zijn. Het begrip “persoonsgegevens” wordt hierin gedefinieerd als volgt: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de

betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”139

Enkele elementen dienen te worden uitgelicht in deze definitie van persoonsgegevens. Met “alle informatie” wordt ook bedoeld informatie die publiek beschikbaar is140_{. Zo zal bijvoorbeeld}

informatie uit vonnissen, die in principe gepubliceerd zouden moeten worden en in openbare zitting uitgesproken worden, ook onder het toepassingsgebied vallen.

Ook de notie “geïdentificeerd of identificeerbaar” dient enkele woorden uitleg te krijgen. Iemand is geïdentficeerd wanneer hij te onderscheiden is van anderen binnen een bepaalde

139 _{Art. 4.1 AVG.}

groep141_{. Te denken valt aan de vermelding van het rijksregisternummer, de naam en}

voornaam, biometrische gegevens zoals vingerafdrukken, de combinatie van enkele kenmerkende gegevens zoals beroep, locatie, leeftijd, haarkleur, lengte, ... Minder voor de hand liggende gegevens kunnen een persoon echter ook identificeerbaar maken, te denken valt aan het chassisnummer van een voertuig dat op diens naam ingeschreven is, het ondernemingsnummer van de onderneming waarvan hij bestuurder is, …

Men moet telkens in concreto beoordelen of op basis van de beschikbare gegevens iemand kan worden geïdentificeerd. Daarnaast moet men ook rekening houden met onder andere de kosten, de tijd en de technologie die nodig zijn om op basis van bepaalde gegevens iemand te identificeren. Wanneer het redelijkerwijze niet denkbaar is dat men zich bezig gaat houden met de identificatie van een persoon op basis van enkele gegevens, omdat dit te duur is, te veel tijd in beslag neemt, technologisch moeilijk haalbaar is, … is deze persoon niet identificeerbaar. Wanneer gegevens in die mate geanonimiseerd zijn, zodat zij geen verband houden met een geïdentificeerde of identificeerbare natuurlijke persoon of op basis waarvan een individu niet identificeerbaar is, zijn de gegevensbeschermingsbeginselen niet van toepassing142_{. Het gaat in dit geval dan niet om “persoonsgegevens” zoals in de zin van de}

AVG en de WVP, waardoor zij niet onder het toepassingsgebied ervan vallen.

Zijn de gegevens die men gebruikt voor predictive policing persoonsgegevens? Bij het gebruik van censusdata en socio-economische data zoals de bevolkingssamenstelling of de locatie van snelwegen zal men niet onder het toepassingsgebied van de Wet Verwerking Persoonsgegevens vallen. Wanneer men echter meer persoonlijke gegevens zoals PV’s of vonnissen gebruikt, is de kans groot dat men hier wel onder zal vallen. Deze documenten bevatten namelijk vaak hoogstpersoonlijke gegevens wanneer deze in hun originele vorm worden gebruikt. Een pv is bovendien niet de enige vorm waarin informatie binnen de politie wordt opgeslagen, zo zijn er verschillende types van documenten, bijvoorbeeld RIR’s of RAR’s. Binnen de politie zelf is het onderscheid echter niet steeds duidelijk, waardoor men pleit om deze verscheidenheid aan instrumenten af te schaffen143_{. Deze hoogstpersoonlijke}

gegevens zullen vaak echter niet cruciaal zijn om het algoritme waarop de predictive policing applicatie op gebaseerd is te voeden. Zo zou men ervoor kunnen opteren om deze anonimiseren. Dit kan gaan van eenvoudige operaties zoals het weglaten van de naam en andere persoonlijke gegevens, maar het is niet ondenkbaar dat zelfs zonder deze gegevens de betrokkene nog steeds te identificeren is op basis van deze documenten.

141 _{Ibid, 10.}

142 _{Overweging 26 AVG.}

In dit onderzoek wordt uitgegaan van de waarschijnlijke hypothese dat er persoonsgegevens zullen worden gebruikt bij predictive policing in België.

Nu duidelijk is wat men als persoonsgegevens kan beschouwen, dient te worden onderzocht wat men precies bedoelt met de “verwerking” hiervan. Ook deze definitie is in de AVG te vinden: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens

of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”144_.

Deze definitie is heel ruim. Het valt niet te betwijfelen dat het gebruik van persoonsgegevens voor predictive policing onder deze definitie valt. Zo gaat het om een geautomatiseerd procedé waarbij men persoonsgegevens verzamelt, ordent, structureert, opslaat, raadpleegt, gebruikt, combineert, … met als doel spatiotemporele voorspellingen te maken over misdrijven.

Artikel 4, §1 bepaalt dat de Wet Verwerking Persoonsgegevens van toepassing van zodra de

verwerker of de verwerkingsverantwoordelijke gevestigd is in België. De verwerker is “een

natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”145_{. Dit}

is dus de politie zelf, wanneer zij een toepassing van predictive policing ontwikkelen in eigen beheer, of een andere entiteit wanneer zij de ontwikkeling hiervan zou uitbesteden.

De verwerker zal de politie zijn. De verwerkingsverantwoordelijke kan wettelijk bepaald worden146_{. De Belgische wetgever heeft van deze mogelijkheid gebruik gemaakt door de}

invoering van artikel 44/4 Wet op het politieambt. Aangezien de voorkoming van misdrijven een opdracht van de bestuurlijke politie is147_{, en niet de taak van de gerechtelijke politie}148_{, zal}

de minister van Binnenlandse Zaken de verwerkingsverantwoordelijke zijn voor predictive

policing.

Aangezien de verwerkingsverantwoordelijke en de verwerker steeds in België gevestigd zullen zijn, is de wet van toepassing.

Het toepassingsgebied van Titel 2 wordt bepaald in artikel 27 van de Wet Verwerking Persoonsgegevens: “Deze titel is van toepassing op de verwerkingen van persoonsgegevens 144 _{Art. 4.2 AVG.}

145 _{Art. 4.8 AVG.} 146 _{Art. 4.7 AVG.}

147 _{Artikel 14, eerste lid Wet op het politieambt.} 148 _{Artikel 15 Wet op het politieambt.}

door de bevoegde overheden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.”

De definities van persoonsgegevens149 _{en die van verwerking}150 _{zijn dezelfde als in de AVG.}

Uit een lijst van “bevoegde overheden” die als exhaustief opgevat kan worden, blijkt dat de politie als een bevoegde overheid beschouwd wordt151152_{. Een entiteit die de ontwikkeling en}

exploïtatie van een predictive policing applicatie op zich kan nemen, voldoet aan geen enkele van de omschrijvingen in dit artikel. Zij kan dus niet als een bevoegde overheid beschouwd worden, en aan Titel 2 van deze wet onderworpen worden. Zij zouden echter wel onder het toepassingsgebied van deze wet kunnen vallen als de wetgever dit opportuun acht en hen opneemt in deze lijst153_.

Gezien de finaliteit van predictive policing, het voorkomen en opsporen van misdrijven, kan men bijgevolg besluiten dat deze titel van toepassing zal zijn wanneer de politie zelf de persoonsgegevens verwerkt.

4.2.1.2 Inhoudelijke bepalingen Titel 2 Wet Verwerking Persoonsgegevens

Artikel 28 van de Wet Verwerking Persoonsgegevens bepaalt de beginselen van verwerking

waaraan moet worden voldaan. Deze beginselen worden een voor een uiteengezet en er wordt getracht er steeds een specifieke inhoud aan toe te kennen, desondanks hun algemene en brede formulering. Gezien het feit dat deze Wet Verwerking Persoonsgegevens en de richtlijn vrij recent zijn, is er zo goed als geen rechtspraak omtrent deze principes. Een zoekopdracht op Juridat met als zoekterm de benaming van de Wet Verwerking Persoonsgegevens brengt als enige resultaten enkele adviezen van de Gegevensbeschermingsautoriteit op. Ook een zoekopdracht in de rechtspraak van het Hof van Justitie brengt geen relevante arresten op omtrent de richtlijn.

Daarnaast gaat de richtlijn gebukt onder de populariteit van de AVG. Zelfs het advies van de Gegevensbeschermingsautoriteit over de Wet Verwerking Persoonsgegevens gaat grondig in op de uitvoering van de AVG. Omtrent de omzetting van de richtlijn geeft dit advies slechts een analyse van “enkele in het oog springende knelpunten”154_{. Omtrent deze verordening is}

wel een aanzienlijke hoeveelheid rechtspraak en rechtsleer, en aangezien de algemene

149 _{Art. 26, 1° Wet Verwerking Persoonsgegevens.} 150 _{Art. 26, 2° Wet Verwerking Persoonsgegevens.} 151 _{Art. 26, 7°, a) Wet Verwerking Persoonsgegevens.}

152 _{P. VOGIATZOGLOU, S. FANTIN, “National and Public Security within and beyond the Police} Directive” in A. VEDDER, J. SCHROERS, C. DUCUING, P. VALCKE (eds.), Security and Law, Cambridge, Intersentia, 2019, 55.

153 _{Overweging 11 Privacyrichtlijn Politie-Justitie.}

154 _{Gegevensbeschermingsautoriteit advies nr. 33/2018 van 11 april 2018 betreffende het voorontwerp} van wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, 129.

principes in de verordening grotendeels dezelfde zijn als in de Wet Verwerking Persoonsgegevens, kunnen we deze rechtspraak en rechtsleer gebruiken om deze principes verder uit te diepen. Waar nodig kunnen enkele nuances aangebracht worden omtrent het specifieke gebruik door de politie.

Artikel 28, 1° WVP bepaalt als eerste beginsel dat de persoonsgegevens rechtmatig en eerlijk

moeten worden verwerkt.

Artikel 33 WVP bepaalt onder welke voorwaarden de verwerking rechtmatig is: zij moet

noodzakelijk zijn voor de voorkoming en de opsporing van misdrijven door de politie, en zij moet gebaseerd zijn op een wettelijke of reglementaire verplichting. Deze verplichting moet minimaal de categorieën van persoonsgegevens en de doeleinden van de verwerking regelen. Bij de invulling van deze voorwaarde kan niet worden gekeken naar de invulling hiervan in de AVG. In de verordening kan men de rechtmatigheid laten steunen op bijvoorbeeld de toestemming van de betrokkene, wat in casu uitgesloten wordt door overweging 35 van de Privacyrichtlijn Politie-Justitie155_{. De noodzakelijkheidheid binnen het kader van het voorkomen}

en opsporen van misdrijven dient in casu subjectief te worden benaderd. Predictive policing is niet strikt noodzakelijk, maar het kan wel een handig hulpmiddel zijn om dit doel te bereiken. Een strikte interpretatie van deze noodzakelijkheid zou mijn insziens te beperkend werken. De voorbereidende werken van de WVP steunen deze interpretatie156_{. De voorbereidende werken}

stellen dat de wettelijke grondslag ruim geïnterpreteerd dient te worden, een bepaling die niet anders verwezenlijkt kan worden door gegevens te verwerken kan al voldoende zijn. Ook overweging 27 van de Privacyrichtlijn Politie-Justitie steunt deze interpretatie. Zij bepaalt namelijk dat persoonsgegevens die verzameld zijn in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van bepaalde strafbare feiten, verder verwerkt mogen worden om inzicht te verwerven in criminele activiteiten. Op basis hiervan kan men vermoeden dat de Europese wetgever toepassingen zoals predictive policing wel mogelijk wou maken onder deze richtlijn.

De verwerking is gebaseerd op een wettelijke verplichting, aangezien artikel 14, eerste lid Wet op het Politieambt de politie ertoe verplicht om bij de uitvoering van hun taken toe te zien op de voorkoming van misdrijven. De categorieën van persoonsgegevens die verwerking mogen worden kan men terugvinden in artikel 44/1, §§ 1-2 Wet op het politieambt.

155 _{Article 29 Data Protection Working Party, Opinion 01/2014 on the application of necessity and} proportionality concepts and data protection within the law enforcement sector, 27 februari 2014, 22 p, https://www.pdpjournals.com/docs/88168.pdf.

156 _{Wetsontwerp betreffende de bescherming van natuurlijke personen met betrekking tot de} verwerking van persoonsgegevens, Parl.St. Kamer 2017-18, nr. 3126/001, 47.

Omtrent de notie “eerlijk” wordt noch in de Wet Verwerking Persoonsgegevens, noch in de richtlijn verduidelijking gegeven. In de rechtsleer geeft men verschillende invullingen aan dit begrip. Zo stellen sommigen dat een eerlijke verwerking rekening houdt met andere wetsbepalingen en met de redelijke verwachtingen van de betrokkene157_{. Anderen betrekken}

bij dit open begrip de transparantievereiste158_{. Men wilt hiermee bereiken dat de betrokkene}

op de hoogte is dat zijn persoonsgegevens verwerkt worden met het oog op het voorspellen van misdrijven, en wie verantwoordelijk is voor deze verwerking. De Wet Verwerking Persoonsgegevens vermeldt deze vereiste van transparantie niet specifiek, maar in overweging 26 van de Privacyrichtlijn Politie-Justitie wordt wel aangehaald dat iedere verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant hoort te zijn. Het is onmogelijk om in te schatten hoe de Belgische of Europese rechter dit criterium in het kader van deze Wet Verwerking Persoonsgegevens of richtlijn precies zal invullen. Het gegeven dat het de transparantievereiste niet expliciet werd opgenomen in de tekst van de richtlijn, kan wel aangeven dat de transparantievereiste in het kader van eerlijke verwerking restrictief geïnterpreteerd dient te worden. Het is niet wenselijk dat men bijvoorbeeld bij een bijzondere opsporingsmethode hiervan steeds op de hoogte wordt gesteld. Zo zouden methodes zoals de telefoontap quasi nutteloos worden. In het kader van predictive policing kan men zich echter de vraag stellen of transparantie over het gebruik van persoonsgegevens negatieve gevolgen kan hebben. De persoonsgegevens die hierbij verwerkt worden zullen namelijk geen directe negatieve gevolgen hebben voor de betrokkenen (in tegenstelling tot wat het geval is bij bijvoorbeeld een telefoontap). Er zijn in principe vrij weinig negatieve effecten van een behoorlijke transparantie omtrent het feit dat iemand zijn persoonsgegevens gebruikt worden voor predictive policing. Men kan er dus baat bij hebben om bij de implementatie van hiervan in België dit criterium ruim genoeg te interpreteren, zodat men kan stellen dat de verwerking eerlijk gebeurt wanneer deze geen wetsbepalingen schendt, en voldoende transparant is.

In de eerste titel van de Wet Verwerking Persoonsgegevens zijn er nog enkele bepalingen relevant in het kader van predictive policing en de rechtmatigheid van de verwerking. Het gaat om de artikelen 19 tot en met 23 WVP, die de uitvoering van het artikel 6.2 van de AVG bevatten.

Deze bepalingen zijn namelijk van toepassing op de federale politie en de lokale politie159_{. Het}

gaat om de situatie waarin de federale overheid persoonsgegevens rechtmatig doorgeeft aan de betreffende politiediensten en de beveiligingsmaatregelen hieromtrent. Er moet een

157 _{D. DE BOT, Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 115-116.} 158 _{B. DOCQUIR, P. YVES, Le droit de la vie privée, Brussel, Larcier, 2008, 131.}

159 _{Artikel 19 Wet Verwerking Persoonsgegevens juncto artikel 2, 2° Wet van 7 december 1998 tot} organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus.

protocol opgesteld worden waarbij de verwerkingsverantwoordelijken regels bepalen die nageleefd moeten worden. Het artikel 20 van de Wet Verwerking Persoonsgegevens somt enkele gegevens op waarin het protocol kan, maar niet moet, voorzien. De betrokken gegevensbeschermingsfunctionarissen van zowel de federale overheid als de betrokken politiedienst moeten een niet bindend advies uitbrengen over dit protocol. Van dit advies kan afgeweken worden mits motivatie. Nadien wordt het protocol via de website van beide diensten openbaar beschikbaar gesteld160_.

Men wilt aan de hand van deze bepaling vermijden dat er in het wilde weg persoonsgegevens worden uitgewisseld door deze uitwisseling te formaliseren en aandacht te besteden aan de rechtmatigheid ervan161_.

Artikel 28, 2° WVP vereist dat de persoonsgegevens voor “welbepaalde, uitdrukkelijk

omschreven en legitieme doeleinden” worden verzameld en dat zij niet op onverenigbare wijze

hiermee verwerkt worden. Het gaat hier om de purpose limitation, of het doelbindingsbeginsel. Dit principe brengt volgens de rechtsleer nogal wat onduidelijkheid met zich mee, vooral wanneer de persoonsgegevens die gebruikt worden verzameld werden onder een ander regime dan dat van de richtlijn. Zo valt bijvoorbeeld te denken aan data die door private spelers verzameld wordt en vervolgens verkocht wordt aan de politie die ze op hun beurt gebruikt om er hun predictive policing-applicatie mee te voeden. We onderzoeken de hypothese waarin de politie zelf zijn gegevens verzamelt en verwerkt. Deze vereiste kan onderverdeeld worden in vier elementen.

Als eerste moeten de persoonsgegevens voor een “welbepaald” doel verzameld worden. Hiermee bedoelt men dat het duidelijk moet zijn voor welk gebruik persoonsgegevens verzameld worden en voor welk gebruik niet.

Als tweede voorwaarde moet dit welbepaald doel “uitdrukkelijk omschreven zijn”. Hetgene dat men wilt bereiken met de verwerking van de verzamelde persoonsgegevens moet publiek gemaakt worden in een begrijpelijke taal, de omschrijving mag niet ambigue zijn en een normale persoon moet uit de bewoording kunnen opmaken met welk doel zijn gegevens verzameld worden. Deze tweede voorwaarde heeft een nauwe band met de transparantievereiste, die niet expliciet in de Wet Verwerking Persoonsgegevens of de richtlijn opgenomen is.

Als derde vereiste moeten de gegevens voor “legitieme doeleinden” worden verzameld. Omtrent deze voorwaarde bestaat een semantische onduidelijkheid. In de tekst van de AVG gebruikt men niet deze term, maar wel de term “gerechtvaardigde doeleinden”. In de Engelse

160 _{Artikel 20, § 3 Wet Verwerking Persoonsgegevens.}

161 _{Wetsontwerp betreffende de bescherming van natuurlijke personen met betrekking tot de} verwerking van persoonsgegevens, Parl.St. Kamer 2017-18, nr. 3126/001, 44.

en in de Franse tekst van de AVG en de Privacyrichtlijn Politie-Justitie gebruikt men echter wel dezelfde termen, “legitimate purposes” en “finalités légitimes”162_{. Mijn insziens kunnen we er}

In document Een juridische analyse met betrekking tot predictive policing (pagina 39-80)