Advies nr. 188/2019 van 29 november 2019 Betreft: Adviesaanvraag m.b.t. een ontwerp van koninklijk besluit (CO-A-2019-187)

Advies nr. 188/2019 van 29 november 2019

Betreft: Adviesaanvraag m.b.t. een ontwerp van koninklijk besluit tot uitvoering van artikel 7, §2, van de wet van 5 mei 2019 houdende diverse bepalingen inzake informatisering van Justitie en modernisering van het statuut van rechters in ondernemingszaken en inzake de notariële aktebank, voor wat het leesrecht van de in artikel 7, §1, 13°, van die wet bedoelde instellingen of diensten betreft (CO-A-2019-187)

De Gegevensbeschermingsautoriteit (hierna de “Autoriteit”);

Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid op artikel 23 en 26 (hierna “WOG”);

Gelet op deVerordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna “AVG”);

Gelet op de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna “WVG”);

Gelet op het verzoek om advies van de heer Koen Geens, minister van Justitie, ontvangen op 11/10/2019; Gelet op een herwerkte versie van het voor advies voorgelegde ontwerp van koninklijk besluit, ontvangen op 23/10/2019; Gelet op de bijkomende inhoudelijke toelichting, ontvangen op 29/10/2019; op 8/11/2019 en op 12/11/2019;

Gelet op het verslag van mevrouw Alexandra Jaspar, Directeur van het Kenniscentrum van de Gegevensbeschermingsautoriteit;

Brengt op 29 november 2019 het volgend advies uit:

I. VOORWERP VAN DE AANVRAAG

1. De minister van Justitie (hierna de aanvrager) verzoekt om het advies van de Autoriteit aangaande een ontwerp van koninklijk besluit tot uitvoering van artikel 7, §2, van de wet van 5 mei 2019 houdende diverse bepalingen inzake informatisering van Justitie en modernisering van het statuut van rechters in ondernemingszaken en inzake de notariële aktebank (hierna de wet van 5 mei 2019), voor wat het leesrecht van de in artikel 7, §1, 13°, van die wet bedoelde instellingen of diensten betreft (hierna het ontwerp).

Context

2. Bij de FOD Justitie werd een geïnformatiseerde gegevensbank opgericht, ‘Sidis Suite’

genaamd, waarin de gegevens worden verwerkt die nodig zijn voor de adequate uitoefening van de wettelijke opdrachten van de penitentiaire administratie, waaronder, enerzijds, het beheer van de inrichtingen, en anderzijds, de uitvoering van vrijheidsstraffen en vrijheidsbenemende maatregelen (waaronder rechten en plichten van gedetineerden, duur van de detentie, …) (zie artikel 3 van de wet van 5 mei 2019).

3. Ingevolge artikel 7, §1, van deze wet van 5 mei 2019 worden aan een aantal overheden, organen of diensten, leesrechten toegekend met betrekking tot de in Sidis Suite opgeslagen gegevens die zij nodig hebben voor de uitoefening van hun wettelijke opdrachten; hieronder “de instellingen of diensten belast met de toepassing van een wetgeving betreffende de sociale zekerheid of de sociale bijstand en de inspectiediensten belast met de controle op de naleving van de toekenningsvoorwaarden van de in toepassing van die wetgeving toegekende voordelen of uitkeringen” (zie artikel 7, §1, 13°, van de wet van 5 mei 2019). Artikel 7, §2, van de wet van 5 mei 2019 stipuleert dat de Koning, na advies van de bevoegde toezichthoudende autoriteit, de omvang en modaliteiten van dat leesrecht bepaalt en per overheid, orgaan of dienst preciseert voor welke specifieke doeleinden de gegevens kunnen worden aangewend.

. . . . . .

4. Het ontwerp geeft uitvoering aan voormeld artikel 7, §2 en bepaalt welke gegevens uit Sidis Suite het voorwerp (kunnen) uitmaken van het leesrecht van de daarin opgesomde instellingen van sociale zekerheid¹ evenals de sociale inspecteurs bedoeld in artikel 16 van het Sociaal Strafwetboek en voor welke respectievelijke doeleinden, evenals de wijze waarop dit leesrecht wordt uitgeoefend.

5. De bepalingen van het ontwerp worden hierna getoetst aan de AVG en de WVG.

II. ONDERZOEK VAN DE AANVRAAG 1. Rechtsgrond

6. Elke verwerking van persoonsgegevens moet steunen op een rechtsgrond in de zin van artikel 6 AVG. Gelet op de reglementaire omkadering van de voorgeschreven inzameling en verwerking van persoonsgegevens in het ontwerp, lijkt de aanvrager een rechtsgrond te willen vinden in artikel 6.1. c) van de AVG.

7. De Autoriteit vestigt in deze context de aandacht op artikel 6.3 AVG dat -in samenlezing met artikel 8 EVRM en artikel 22 van de Grondwet- voorschrijft dat regelgeving die de verwerking van persoonsgegevens omkadert met een belangrijke inmenging in de rechten en vrijheden van de betrokkenen tot gevolg², in principe minstens volgende essentiële elementen van die verwerking zou moet vermelden:³

- het doel van de verwerking;

- de types of categorieën van te verwerken persoonsgegevens;

- de betrokkenen;

- de entiteiten waaraan en doeleinden waarvoor de persoonsgegevens mogen worden verstrekt;

- de opslagperioden;

1 Het betreft volgende instellingen: deRijksdienst voor Arbeidsvoorziening en de uitbetalingsinstellingen in de sector van de werkloosheid; het Rijksinstituut voor ziekte- en invaliditeitsverzekering en de verzekeringsinstellingen in de verplichte ziekteverzekering; de Programmatorische Federale Overheidsdienst Maatschappelijke Integratie, Armoedebestrijding en Sociale Economie en de Openbare Centra voor Maatschappelijke Welzijn; de Federale Pensioendienst; de Gewestelijke diensten voor arbeidsbemiddeling en beroepsopleiding; het Agentschap voor Vlaamse Sociale Bescherming en de zorgkassen en de Directie- Generaal personen met een handicap van de Federale Overheidsdienst Sociale Zekerheid.

2 De Autoriteit stelt immers vast de het ontwerp een verwerking van ‘gevoelige gegevens’ in de zin van artikel 10 AVG betreft en dit van een eerder ‘kwetsbare’ groep personen die van hun vrijheid werden beroofd, waarbij gegevens vanuit de justitiële sfeer (Sidis Suite) worden gekoppeld aan gegevens inzake sociale zekerheid en zulks in het kader van (controle op) toekenning/weigering van (sociale) tegemoetkomingen.

3 Zie DEGRAVE, E., "L'egouvernement et la protection de la vie privée – Légalité, transparance et contrôle", Collection du CRIDS, Larcier, Brussel, 2014, p. 161 e.v. (zie o.m.: EHRM, arrest Rotaru c. Roumania, 4 mei 2000); Zie ook enkele arresten van het Grondwettelijk Hof: Arrest nr. 44/2015 van 23 april 2015 (p. 63), Arrest nr. 108/2017 van 5 oktober 2017 (p. 17) en Arrest nr.

29/2018 van 15 maart 2018 (p. 26).

- evenals de aanduiding van de verwerkingsverantwoordelijke(n).

8. De Autoriteit wijst de aanvrager op de formaliteiten die moeten worden nageleefd bij een doorgifte of uitwisseling van persoonsgegevens door of tussen een federale overheid, in casu FOD Justitie, en de betrokken instellingen en (inspectie)diensten van sociale zekerheid, zoals gepreciseerd in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 vna het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG.⁴

2. Doeleinden

9. Volgens artikel 5.1.b) AVG is de verwerking van persoonsgegevens enkel toegestaan voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

10. Artikel 2 van het ontwerp stipuleert per betrokken (netwerk van) instelling(en) van sociale zekerheid en de Sociale Inspectie voor welke doeleinden/reglementaire opdrachten beroep kan worden gedaan op het leesrecht betreffende gegevens in Sidis Suite. In het Verslag aan de Koning worden de respectievelijke doeleinden/reglementaire opdrachten in kwestie uitgebreider toegelicht, met verwijzing naar de toepasselijke regelgevende bepalingen.

11. Concreet is het zo dat de reglementeringen van diverse sectoren van de sociale zekerheid bepalingen bevatten die voorzien in de stopzetting, beperking of schorsing van (de betaling van) een recht of een voordeel voor personen die, soms afhankelijk van het specifieke juridische statuut, gedetineerd zijn in een inrichting beheerd door de FOD Justitie. De formuleringen zijn divers, maar de essentie is vaak dezelfde: de uitkering of het voordeel van een persoon in detentie wordt geschorst of verminderd omdat hij voor zijn onderhoud ten laste komt van de FOD Justitie.⁵

4 Het betreft in het bijzonder artikelen 18 en 39 tot wijziging van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid en artikel 86 tot wijziging van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator.

5 Zie p. 1-2 van het Verslag aan de Koning bij het ontwerp.

12. Het leesrecht op gegevens in Sidis Suite moet de betrokken instellingen en diensten toelaten om te allen tijde op correcte wijze uitbetalingen en/of beperkingen, schorsingen of stopzettingen daarvan door te voeren zodat wordt vermeden dat achteraf onterecht uitgekeerde prestaties moeten worden teruggevorderd.⁶ Het laat de betrokken instellingen en (inspectie)diensten van sociale zekerheid ook toe om gebeurlijk in de reglementering ingeschreven periodes van gelijkstelling of bepalingen inzake wachttijd correct toe te passen, of nog om bepalingen inzake de verzekerbaarheid toe te passen.

Het betekent een sterke administratieve vereenvoudiging ten aanzien van de huidige situatie waarin de instellingen vooreerst moeten rekenen op het initiatief van de sociaal verzekerde om op de hoogte te worden gebracht van een opsluiting, om dan in tweede instantie (papieren) attesten op te vragen bij de FOD Justitie om deze of gene juridisch relevante toestand te verifiëren.⁷

13. De Autoriteit is van oordeel dat de doeleinden waarvoor de betrokken instellingen en (inspectie)diensten van sociale zekerheid een leesrecht ontvangen op Sidis Suit-gegevens, zoals vermeld in artikel 2 van het ontwerp en verder gepreciseerd in het Verslag aan de Koning, kunnen worden beschouwd als welbepaald, uitdrukkelijk omschreven en gerechtvaardigd in de zin van artikel 5.1.b) AVG.⁸

3. Proportionaliteit/minimale gegevensverwerking

14. Artikel 5.1.c), AVG bepaalt dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor de beoogde doeleinden ('minimale gegevensverwerking').

15. Het ontwerp somt in artikel 3 de gegevens op die het voorwerp kunnen uitmaken van het leesrecht in hoofde van de betrokken instellingen en (inspectie)diensten van sociale zekerheid, voor zover de betrokken instelling/dienst deze nodig heeft in het licht van voormelde doeleinden (zie randnummers 10 e.v.). Het betreffen volgende persoonsgegevens⁹:

6 Het Verslag aan de Koning licht terzake toe dat een sociaal verzekerde die onterecht uitkeringen blijft ontvangen tijdens zijn detentie een schuld opbouwt die nefast kan zijn voor zijn reclassering.

De gegevensdoorgifte is er bovendien niet uitsluitend op gericht om tijdig betalingen van voordelen of uitkeringen te kunnen stopzetten, maar ook om rechten tijdig voor de sociaal verzekerde te kunnen hernemen.

7 Zie p. 2-3 van het Verslag aan de Koning bij het ontwerp.

8 Dit standpunt werd -minstens impliciet- ook al ingenomen door het voormalige Sectoraal comité voor de Federale Overheid en door diens opvolger: het Informatieveiligheidscomité, waarbij aan de RVA een (tijdelijke) machtiging werd verleend om gegevens inzake detentie rechtstreeks te ontvangen van de FOD Justitie (zie beraadslagingen FO nr. 02/2017 van 11 april 2017 en nr. 34/2017 van 16 november 2017 en beraadslaging van de verenigde kamers van het Informatieveiligheidscomité nr.

18/152 van 6 november 2018).

9 Zowel in de aanhef van het ontwerp als -meer uitgebreid- in het Verslag aan de Koning wordt voor bijkomende duiding bij de draagwijdte van deze gegevens verwezen naar het KB ter uitvoering van artikel 5, §6, van de wet van 5 mei 2019 houdende diverse bepalingen inzake informatisering van Justitie en modernisering van het statuut van rechters in ondernemingszaken en inzake de notariële aktebank, dat nadere en concrete invulling geeft aan de gegevenscategorieën die worden opgenomen in Sidis Suite. De tekst van dit KB werd door de aanvrager aangepast aan de door de Autoriteit reeds geformuleerde opmerkingen in advies nr. 147/2019 van 4 september 2019.

- identificatiegegevens (identificatienummer van het Rijksregister of van de Kruispuntbank en het identificatienummer toegekend door de penitentiaire instelling);

- gegevens aangaande de interne rechtspositie: de inrichting van verblijf (de aanvrager licht toe dat de hier geviseerde informatie beperkt blijft tot opgave van de gevangenis waar de gedetineerde op dat ogenblik verblijft);

- gegevens aangaande de externe rechtspositie: datum van opsluiting, datum en reden van invrijheidsstelling, informatie betreffende de strafuitvoeringsmodaliteiten, datum en reden van het tijdelijk verlaten van en de (niet-)terugkeer naar de inrichting, het primaire wettelijke statuut (verdachte, veroordeelde of geïnterneerde);

- gerechtelijke gegevens: vereenvoudigde informatie over de opsluitingstitels (de aanvrager licht toe dat met deze ‘vereenvoudigde’ informatie wordt gedoeld op het ‘primaire wettelijk statuut’ (zijnde verdachte, veroordeelde of geïnterneerde), gekoppeld aan bepaalde codes voor bv. ’correctionele’ of ‘criminele straf’, of bv. ‘beklaagde onder bevel tot aanhouding’).

16. De Autoriteit adviseert dat de afbakening van de aan het leesrecht onderworpen persoonsgegevens in de tekst van het ontwerp, minstens in het Verslag aan de Koning, strikter moet worden geformuleerd en dit conform de toelichting die de aanvrager terzake verschafte. Dit geldt in het bijzonder voor ‘de inrichting van het verblijf’ en de ‘vereenvoudigde informatie over de opsluitingstitels’. De draagwijdte van deze gegevens zoals deze volgt uit het KB ter uitvoering van artikel 5, §6, van de wet van 5 mei 2019 houdende diverse bepalingen inzake informatisering van Justitie en modernisering van het statuut van rechters in ondernemingszaken en inzake de notariële aktebank en diens Verslag aan de Koning (zie voetnoot 9), is kennelijk ruimer dan wat de instellingen van sociale zekerheid effectief nodig hebben (zie randnummer 15).

17. De Autoriteit neemt akte van het feit dat het leesrecht, conform artikel 4 van het ontwerp, de vorm zal aannemen van een automatische doorzending door de FOD Justitie, via de federale dienstenintegrator BOSA¹⁰ en de KSZ¹¹, naar de in artikel 2 van het ontwerp opgesomde begunstigde instellingen en (inspectie)diensten van sociale zekerheid.

Het Verslag aan de Koning preciseert dat de KSZ bij het effectief doorzenden van de gegevens vanuit Sidis Suite een belangrijke filterfunctie zal vervullen:

- waarbij niet zonder meer alle gegevens worden doorgezonden aan alle instellingen, maar -in toepassing van het proportionaliteitsprincipe- enkel die gegevens die de betrokken instelling

10 De aanvrager verduidelijkt dat de FOD BOSA optreedt in de hoedanigheid van federale dienstenintegrator (in de zin van de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator) en staat daarbij o.m. in voor het technisch ontsluiten van de gegevens.

11 De aanvrager licht toe dat de KSZ daarbij ten aanzien van de betrokken instellingen behorende tot het netwerk van de sociale zekerheid de rol vervult die haar is toegewezen bij de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid.

of dienst effectief nodig heeft in het licht van het precieze doeleinde/de reglementaire opdracht die ze beoogt;

- waarbij op basis van het referentierepertorium van de KSZ, de betrokken instelling of dienst enkel gegevens zal ontvangen van personen met betrekking tot wie deze een dossier beheert of onderzoek voert.

De Autoriteit merkt op dat deze filtering zijn weerslag kan vinden in de tussen de FOD Justitie enerzijds, en de onderscheiden instellingen en (inspectie)diensten van sociale zekerheid, anderzijds, met betrekking tot doorgifte of uitwisseling van persoonsgegevens bijkomend na te leven formaliteiten (zie randnummer 8).¹²

18. Hoewel dit de scope van het voor advies voorgelegde ontwerp enigszins te buiten gaat, maakt de Autoriteit zich de bedenking of de invulling van het leesrecht door artikel 4 van het ontwerp door een loutere ‘automatische doorzending’ van de FOD Justitie naar de betrokken instellingen en (inspectie)diensten van sociale zekerheid een steeds garantie kan bieden op correcte informatie, zowel in hoofde van de FOD Justitie, als in hoofde van de betrokken instellingen. Hierbij moet vooral gedacht worden aan de gedetineerde, waarvan op het moment van zijn vrijlating, idealiter alle formaliteiten voor het genot van zijn sociale rechten, reeds zijn voldaan, hetgeen naar alle waarschijnlijkheid een uitwisseling van informatie in 2 richtingen zal vereisen (zowel van als naar FOD Justitie en sociale sector).

19. Voor zover voormelde bedenkingen (randnummers 16 en 17) door de aanvrager worden in acht genomen, is de Autoriteit van oordeel dat de aldus afgebakende gegevens, ter zake dienend en niet overmatig zijn in het kader van de beoogde doeleinden, zoals vereist door artikel 5.1.c) AVG.

4. Bewaartermijn van de gegevens

20. Krachtens artikel 5.1.e) AVG mogen persoonsgegevens niet langer worden bewaard, in een vorm die het mogelijk maakt de betrokkenen te identificeren, dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

21. Artikel 9 van wet van 5 mei 2019 voorziet in een bewaartermijn voor de in de databank Sidis Suite, onder verantwoordelijkheid van de FOD Justitie, opgeslagen persoonsgegevens.

12 De publicatie op de website van de betrokken verwerkingsverantwoordelijken van gebeurlijke protocolakkoorden draagt bij aan het transparant karakter van deze verwerkingen/gegevensdoorgifte; hetzelfde geldt voor de publicatie op de website van de FOD Beleid en Ondersteuning en/of KZS van de beraadslagingen van het Informatieveiligheidscomité.

22. De Autoriteit stelt echter vast dat het ontwerp niet voorziet in enige bewaartermijn, in hoofde van de onderscheiden begunstigden van het leesrecht op gegevens uit Sidis Suite. Aangezien dit leesrecht, ingevolge artikel 4 van het ontwerp, bestaat uit een automatische doorzending door de FOD Justitie aan de begunstigde instellingen en diensten van sociale zekerheid van de gegevens uit Sidis Suite, worden deze na doorzending kennelijk ook (lokaal) opgeslagen en bewaard bij de diverse begunstigden.

23. In het licht van artikel 6.3 AVG, is het aangewezen om in het ontwerp ook de (maximale) bewaartermijnen te bepalen van de door de diverse begunstigde instellingen en diensten van het leesrecht te verwerken persoonsgegevens, rekening houdend met de onderscheiden doeleinden en categorieën van gegevens; of toch minstens de criteria op te nemen die toelaten deze (maximale) bewaartermijnen te bepalen.

Louter volledigheidshalve vestigt de Autoriteit er de aandacht op dat de vereisten van artikel 5.1.e) AVG geen afbreuk doen aan de voorschriften vervat in de Archiefwet van 24 juni 1955.

5. Verwerkingsverantwoordelijken

24. Artikel 4.7. AVG bepaalt dat voor de verwerkingen waarvan de regelgeving het doel en de middelen vastlegt, de verwerkingsverantwoordelijke diegene is die daarin als dusdanig wordt aangewezen.

25. Artikel 4 van de wet van 5 mei 2019 duidt de FOD Justitie uitdrukkelijk aan als verwerkingsverantwoordelijke in de zin van artikel 4.7) AVG voor de Sidis Suite gegevensbank. Het is immers van belang dat betrokkenen weten tot wie zich te richten met het oog op het uitoefenen en afdwingen van de hen door de AVG in artikelen 12 tot 22 toegekende rechten. Het verschaft ook duidelijkheid over de toepassing van de artikelen 5.2, 13, 14, 26 en 28 van de AVG.

26. Aangezien het leesrecht van de aangeduide instellingen en (inspectie)diensten, ingevolge artikel 4 van het ontwerp, bestaat uit een automatische doorzending door de FOD Justitie, worden de gegevens in kwestie na doorzending kennelijk ook (lokaal) opgeslagen en bewaard bij de diverse begunstigden. Artikel 5 van het ontwerp wijst overigens ook uitdrukkelijk op de verantwoordelijkheid van deze instellingen en diensten om de nodige technische en organisatorische maatregelen te nemen ter beveiliging van deze gegevens, wat een indicatie is voor hun respectievelijke rol als verwerkingsverantwoordelijke(n) in de zin van artikel 4.7) AVG. De Autoriteit adviseert terzake niettemin een nominatieve aanduiding als dusdanig, gelet op het belang daarvan voor de betrokkenen in het kader van de uitoefening van de hen door de AVG toegekende rechten.

27. De Autoriteit neemt akte van de verwijzing in het ontwerp naar artikel 10, §2 WVG inzake na te leven (bijkomende) beveiligingsmaatregelen ingeval van verwerking van bijzondere categorieën van persoonsgegevens, waaronder deze betreffende strafrechtelijke veroordelingen en strafbare feiten (zie artikel 10 AVG).

28. Volledigheidshalve -en onverminderd alle andere verplichtingen die de AVG en de WVG opleggen- wijst de Autoriteit op de plicht van elke verwerkingsverantwoordelijke om na te gaan of het uitvoeren van een gegevensbeschermingseffectbeoordeling (artikel 35 AVG)¹³¹⁴ al dan niet noodzakelijk is.

OM DEZE REDENEN de Autoriteit,

is van oordeel dat de volgende aanpassingen van het ontwerp zich opdringen:

- striktere afbakening van de gegevens(categorieën) die het voorwerp (kunnen) uitmaken van het leesrecht van de begunstigde instellingen en (inspectie)diensten van sociale zekerheid (zie randnummers 16 en 19);

- indicatie van de maximale bewaartermijn(en) van de gegevens die uit Sidis Suite, ingevolge hun leesrecht, aan de betrokkenen instellingen en (inspectie)diensten van sociale zekerheid worden doorgezonden (zie randnummers 22 en 23);

- expliciete aanduiding van de respectievelijke verwerkingsverantwoordelijken voor de uit Sidis Suite ontvangen persoonsgegevens (zie randnummer 26);

13 Voor richtlijnen dienaangaande, zie:

- Info op website Autoriteit: https://www.gegevensbeschermingsAutoriteit.be/gegevensbeschermingseffectbeoordeling-0 - Aanbeveling uit eigen beweging van de Commissie nr. 01/2018 van 28 februari 2018 met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging.

(https://www.gegevensbeschermingsAutoriteit.be/sites/privacycommission/files/documents/aanbeveling_01_2018.pdf ) - Richtlijnen Groep 29 (WP 248)

(https://www.gegevensbeschermingsAutoriteit.be/sites/privacycommission/files/documents/wp248%20rev.01_nl.pdf )

14 Een gegevensbeschermingseffectbeoordeling kan overigens ook reeds uitgevoerd worden in het stadium waarin regelgeving wordt voorbereid. Zie in dit verband artikel 35.10 AVG en randnummers 90-91 van de Aanbeveling van de Commissie nr.

01/2018.

wijst de aanvrager op het belang van de volgende elementen:

- de formaliteiten die moeten worden nageleefd bij een doorgifte of uitwisseling van persoonsgegevens door of tussen een federale overheid, in casu FOD Justitie, en de betrokken instellingen en (inspectie)diensten van sociale zekerheid, zoals gepreciseerd in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité (zie randnummers 8 en 17).

(get.) Alexandra Jaspar

Directeur van het Kenniscentrum