Advies nr. 114/2018 van 7 november 2018
Betreft:adviesaanvraag over een ontwerp van koninklijk besluit tot vaststelling van de nadere regels voor het doorgeven, de registratie, de bewaring en de toegang tot het register van de attesten inzake de verplichte verzekering van tienjarige burgerlijke aansprakelijkheid in de bouwsector (CO-A-2018- 101).
De Gegevensbeschermingsautoriteit;
Gelet op de wet van
3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid
op artikel 23 en 26;Gelet op het verzoek om advies de Minister van Werk, Economie en Consumenten, ontvangen op 11 september 2018;
Gelet op het verslag van de heer Willem Debeuckelaere;
Brengt op 7 november 2018 het volgend advies uit:
.
.
.
.
.
.
Advies 114-2018 - 2/4
I. ONDERWERP VAN DE ADVIESAANVRAAG
1. Het ontwerp van koninklijk besluit tot vaststelling van de nadere regels voor het doorgeven, de registratie, de bewaring en de toegang tot het register van de attesten inzake de verplichte verzekering van tienjarige burgerlijke aansprakelijkheid in de bouwsector (hierna "het ontwerp van koninklijk besluit") is genomen krachtens de bepalingen die zijn ingevoegd in de wet van 31 mei 2017
betreffende de verplichte verzekering van de tienjarige burgerlijke aansprakelijkheid van aannemers, architecten en andere dienstverleners in de bouwsector van werken in onroerende staat en tot wijziging van de wet van 20 februari 1939 op de bescherming van de titel en van het beroep van architect
(hierna "de wet van 31 mei 2017").Deze bepalingen zijn ingevoegd met de artikelen 100 en volgende van de wet houdende diverse bepalingen inzake economie, gestemd op 19 juli 2018, waarover de Gegevensbeschermingsautoriteit 1(hierna de "GBA") een gunstig advies uitbracht.
II. ONDERZOEK TEN GRONDE
A. Verwerkingsverantwoordelijke als bedoeld in artikel 4.2.(7) van de AVG
2. De Autoriteit neemt akte van het feit dat de Beroepsvereniging van de Verzekeringsondernemingen de verwerkingsverantwoordelijke van het register is (art. 19/1 van de wet van 31 mei 2017 waarnaar artikel 8 van het ontwerp van koninklijk besluit verwijst).
B. Toegang tot het Register
3. De artikelen 2, 3, 4, en 5 bakenen de toegang tot het Register af door de personen die gemachtigd zijn om toegang te hebben te beperken alsook de doeleinden waarvoor zij toegang kunnen hebben. Voor het geval bedoeld in artikel 5 dat voorziet in een toegang tot het Register door bepaalde overheden, moet een protocolakkoord worden opgemaakt overeenkomstig artikel 20 van de wet van 30 juli 2018
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens,
en als er geen akkoord kan worden afgesloten, moet het advies worden gevraagd van het Informatieveiligheidscomité overeenkomstig artikel 18 §5 van de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees1 https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/advies_74_2017.pdf https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/advies_74_2017.pdf
Advies 114-2018 - 3/4
Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG. De tekst bepaalt ook dat de bijgewerkte lijst van personen die toegang hebben tot het Register ter beschikking wordt gesteld van de GBA.
4. Het advies 74/2017, punt 2 bepleit de invoering van een
" toegangs- en gebruikersbeheer voor het register (identificatie, authenticatie en machtiging van de gebruiker)
". Naast een lijst die de toegang tot het Register beperkt, is het noodzakelijk om te voorzien in een logging van de toegang waardoor de toegangen tot het Register worden geregistreerd zodat de rechtmatigheid en de proportionaliteit van het gebruik van het Register kan worden nagegaan.C. Transparantie
5. Het is aan de verwerkingsverantwoordelijke van het Register om de betrokkenen van wie de gegevens worden verwerkt, in te lichten van de volgende gegevens: de naam en het adres van de verwerkingsverantwoordelijke, de doeleinden, de gegevensverzameling, desgevallend de ontvangers van de gegevens, het bestaan van een recht op toegang tot de gegevens en rectificatie van de gegevens.
D. Rechten van de betrokkenen
6. Zoals aangegeven werd in advies 74/2017, punt 23, herhaalt de Autoriteit dat de rechten bepaald in de artikelen 12 tot 23 van de AVG in het ontwerpbesluit moeten worden opgenomen.
E. Bewaartermijn
7. Artikel 10 van het ontwerp van koninklijk besluit bepaalt dat de attesten bewaard worden gedurende maximum 15 jaar en dat na afloop van deze termijn, het attest wordt geschrapt.
De aanvrager vermeldt dat deze termijn gerechtvaardigd is omdat het noodzakelijk is de afloop van de termijn van de 10 jarige waarborg af te wachten waaraan nog een termijn moet worden toegevoegd voor eventuele klachten die na afloop van het contract worden ingediend (wet van 4 april 2014 betreffende de verzekeringen, art. 142.)
8. De Autoriteit neemt hiervan akte.
Advies 114-2018 - 4/4
F. Beveiliging
9. Artikel 9 van het ontwerp van koninklijk besluit bepaalt dat de verzekeringsondernemingen de attesten doorgeven aan het Register «
via informaticatechnieken met een passend beveiligingsniveau
». Het is ook vereist dat de gegevens die in het Register zelf worden bewaard passend beveiligd worden.OM DEZE REDENEN,
de Autoriteit
brengt een gunstig advies uit over het ontwerp van Koninklijk besluit tot vaststelling van de nadere regels voor het doorgeven, de registratie, de bewaring en de toegang tot het register van de attesten inzake de verplichte verzekering van tienjarige burgerlijke aansprakelijkheid in de bouwsector op voorwaarde dat rekening wordt gehouden met de opmerkingen onder de volgende punten:
-
Punt 4. De verwerkingsverantwoordelijke moet een logging van de toegangen installeren;-
Punt 5. De verplichtingen inzake transparantie als bedoeld in de artikelen 13 en 14 moeten worden nageleefd;-
Punt 6. De aanvrager moet aan de betrokkenen de mogelijkheid bieden om hun rechten uit te oefenen;-
Punt 9. Het is nodig om te voorzien in passende beveiligingsmaatregelen voor het bewaren van de gegevens.De Wnd. Administrateur, De Voorzitter,
(get.) An Machtens (get.) Willem Debeuckelaere
