Advies nr. 117/2019 van 5 juni 2019
Betreft: adviesaanvraag betreffende een ontwerp van Koninklijk besluit houdende samenstelling en organisatie van de Interministeriële Commissie voor de strijd tegen namaak en piraterij ter uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht (CO-A-2019-103).
De Gegevensbeschermingsautoriteit (hierna "de Autoriteit");
Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid op artikel 23 en 26 (hierna de "WOG");
Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (hierna "AVG");
Gelet op de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna “WVG");
Gelet op het verzoek om advies van Kris Peeters, de Vice-Eerste Minister en Minister van Werk, Economie en Consumenten, ontvangen op 22 maart 2019;
Gelet op het verslag van Mevrouw Alexandra Jaspar, Directeur van het Kenniscentrum van de Gegevensbeschermingsautoriteit;
Brengt op 5 juni 2019 het volgend advies uit:
Context
1. De Minister van Economie vraagt het advies van de Autoriteit over een ontwerp van Koninklijk besluit houdende samenstelling en organisatie van de Interministeriële Commissie voor de strijd tegen namaak en piraterij ter uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht (hierna het ontwerp van koninklijk besluit).
2. Het ontwerp koninklijk besluit strekt ertoe om, in uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht, een Interministeriële Commissie voor de strijd tegen namaak en piraterij op te richten (hierna de ICSNP) in de schoot van de interministeriële Economische Commissie (IEC).
3. Volgens de aanvrager strekt de oprichting van de ICSNP ertoe de samenwerking te bevorderen tussen de diensten die betrokken zijn bij de strijd tegen namaak en piraterij, zoals de FOD Financiën (Administratie Douane en Accijnzen), de FOD Economie (Algemene Directie Economische Inspectie, Algemene Directie Economische Reglementering), de FOD Justitie, het Federaal parket, de Federale politie, het Federaal agentschap voor geneesmiddelen en gezondheidsproducten en het Federaal Agentschap voor de Veiligheid van de Voedselketen.
4. De Autoriteit verstrekte op 24 mei 2017 al een advies over dit ontwerp van koninklijk besluit (hierna "advies 27/2017"). Zij concludeerde dat « bij gebrek aan preciseringen aangaande de in het koninklijk besluit voorziene verwerkingen van persoonsgegevens, de Autoriteit «enkel de toepasselijke bepalingen van de WVP kan herhalen en dat zij zich in de huidige stand van het dossier niet kan uitspreken» zonder «zich uit te spreken over de conformiteit van het koninklijk besluit met de toepasselijke bepalingen inzake bescherming van de persoonlijke levenssfeer. »1 De aanvrager heeft de tekst sindsdien gewijzigd om rekening te houden met het advies van de Autoriteit.
I. ONDERZOEK TEN GRONDE A. Rollen in de gegevensbescherming
5. Uit de door de aanvrager verstrekte effectbeoordeling (hierna "effectbeoordeling" genoemd) blijkt dat de leden van de ICSNP als medeverantwoordelijk voor de verwerking worden
1Advies nr. 27/2017
https :://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/advies_27_2017.pdf https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/advies_27_2017.pdf
beschouwd en dat personen die de nodige ondersteuning bieden voor de uitvoering van technische en organisatorische maatregelen, zoals GCLOUD, SMALS en Microsoft, als verwerkers worden beschouwd. De Autoriteit verheugt zich erover dat de rollen en verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens zijn aangegeven, maar dringt erop aan dat de rol van elke entiteit ten aanzien van artikel 4.7 en 4.8 van de AVG in het ontwerp van koninklijk besluit zelf wordt aangegeven, teneinde de transparantie te vergroten en een doeltreffende uitoefening van de rechten van de betrokkenen mogelijk te maken.
B. Uitwisseling van gegevens tussen de federale overheden
6. Het ontwerp van koninklijk besluit bepaalt dat de bevoegde overheden en de openbare diensten elkaar, op eigen initiatief of op verzoek, de nodige informatie verstrekken over de uitvoering van de strijd tegen namaak en piraterij bedoeld in titel 3, hoofdstuk 2, afdeling 8 van het Wetboek van economische wetgeving De Autoriteit vestigt de aandacht op het feit dat voor de toegang tot persoonsgegevens van een federale overheidsinstantie overeenkomstig de artikelen 19, 20 en 55 van de WVG vooraf een protocolakkoord moet worden gesloten. En indien het voor de verwerkingsverantwoordelijken die gegevens verzenden en ontvangen, onmogelijk is om overeenstemming te bereiken, moet de gegevensstroom in principe vooraf worden beraadslaagd door de Kamer Federale Overheid van het Informatieveiligheidscomité (tenzij er sprake is van occasionele mededeling van gegevens of een reglementaire norm die de modaliteiten van de stroom bepaalt, zoals het doel, de categorieën gegevens en de ontvangers van de gegevens).
C. Finaliteits en rechtmatigheidsbeginsel -
7. Overeenkomstig artikel 5.1.b van de AVG moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden, rekening houdend met alle relevante factoren, met name de redelijke verwachtingen van de betrokkene en met de toepassing van de wettelijke en reglementaire bepalingen.
8. Artikel XV.59, § 1, van het Wetboek van economisch recht, op grond waarvan het koninklijk besluit wordt uitgevaardigd, bepaalt dat de bevoegde autoriteiten ter bestrijding van namaak en piraterij, tot uitwisseling overgaan van:
- «informatie die nuttig is teneinde, door preventieve en repressieve acties, de met titel 3,
[2]Zie artikel 35/1 van de wet van 15 augustus 2012 houdende de oprichting en organisatie van een federale dienstenintegrator..
hoofdstuk 2, afdeling 8, onderafdeling 1, strijdige handelingen en praktijken te bestrijden »;
- « inlichtingen betreffende nieuwe methodes gebruikt bij de verwezenlijking van met titel 3, hoofdstuk 2, afdeling 8, onderafdeling 1, strijdige operaties of betreffende onwettige
activiteiten en activiteitenschema's »;
- « inlichtingen betreffende de door de bevoegde autoriteiten en openbare diensten verwezenlijkte waarnemingen en de resultaten verkregen ten gevolge van de geslaagde toepassing van nieuwe middelen en technieken van strijd tegen namaak en piraterij van
intellectuele eigendomsrechten ».
9. Artikel XV.59, §2 van het Wetboek van economisch recht bepaalt: "De Koning bepaalt de aard van de inlichtingen en gegevens bedoeld in dit artikel alsook de modaliteiten voor de uitwisseling ervan tussen de bevoegde autoriteiten en de bevoegde overheidsdiensten. ».
10. Artikel 2, §4 van het ontwerp van koninklijk besluit bepaalt: « de operationele samenwerking tussen de bevoegde autoriteiten bepaald in paragraaf 1, 5° kan bestaan uit een verwerking, met inbegrip van de uitwisseling tussen de bevoegde autoriteiten, van inlichtingen en informatie, waaronder eventueel persoonsgegevens in de zin van artikel 4, 1), van de Algemene verordening gegevensbescherming ».
Deze "operationele samenwerking" tussen de bevoegde autoriteiten wordt vermeld in artikel 2,§ 1, vijfde lid, van het ontwerp van koninklijk besluit, dat bepaalt dat een van de opdrachten van de Interministeriële Commissie bestaat uit "de omkadering van de totstandbrenging van synergieën op lokaal niveau tussen de bevoegde autoriteiten met het oog op de operationele samenwerking in de strijd tegen namaak en piraterij van intellectuele eigendomsrechten ».
11. Het is belangrijk om een duidelijk onderscheid te maken tussen de wettelijke taken die aan de bevoegde autoriteiten zijn toegewezen en de doeleinden waarvoor persoonsgegevens worden verwerkt. De opdracht van de ICSNP om "de totstandbrenging van synergieën op lokaal niveau tussen de bevoegde autoriteiten te omkaderen met het oog op de operationele samenwerking in de strijd tegen namaak en piraterij van intellectuele eigendomsrechten" is in zijn huidige vorm geen "uitdrukkelijk doel" in de zin van artikel 5.1.b van de AVG, omdat het te vaag is opdat de betrokkenen zouden kunnen begrijpen wat het doel is van de verwerkingen die worden uitgevoerd om de wettelijke opdrachten van de ICSNP te vervullen.2
12. Omdat nadere gegevens over de doelstellingen van de geplande verwerking ontbreken, kan de Autoriteit zich niet uitspreken over de legitimiteit en wettigheid van de verwerking in het kader van artikel 5.1.b. van de AVG.
2 Dit werd al opgemerkt in advies nr. 27/2017, § 8, 9, 10
D. Proportionaliteitsbeginsel
13. De Autoriteit herinnert er echter aan dat, krachtens artikel 8 EVRM en artikel 22 van de Grondwet, elke overheidsinmenging in het recht op eerbiediging van de persoonlijke levenssfeer (waaronder de bescherming van persoonsgegevens) moet worden voorgeschreven in een 'voldoende precieze wettelijke bepaling' die beantwoordt aan een dwingende maatschappelijke behoefte en evenredig is met de nagestreefde doelstelling.
Artikel 5 §1. c van de AVG bepaalt dat de persoonsgegevens toereikend, ter zake dienend en niet overmatig dienen te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen en waarvoor zijn verder worden verwerkt. De verantwoordelijke moet, voor de verwerking waarmee hij zijn nagestreefd doeleinde wil bereiken, bij de keuze voor een bepaalde verwerkingswijze, erover waken dat hij opteert voor die modaliteiten die het minst de privacy van de betrokkenen aantasten. Een inmenging in het recht op bescherming van de gegevens van de betrokkenen, moet voor de verwerkingsverantwoordelijke immers proportioneel zijn ten opzichte van de doeleinden van die verwerking.
14. Artikel 2§4 van het ontwerp van koninklijk besluit bepaalt dat met het oog op de uitvoering van de opdrachten ivm "operationele samenwerking" bedoeld in artikel 2§1, vijfde lid3, van het ontwerp van koninklijk besluit, de volgende persoonsgegevens kunnen worden verwerkt:
- « naam en voornaam, geslacht, geboortedatum,geboorteplaats, geografisch adres, telefoonnummer, elektronisch adres, IP-adres, burgerlijke staat, familiale banden.
sociale mediaprofielen, bankrekeningnummer, nummerplaat » ; - « rijksregisternummer » ;
- « ondernemingsnummers en nummers van de vestigingseenheid toegekend door de Kruispuntbank van Ondernemingen en de aanverwante informatie »
15. Over de verwerking van persoonsgegevens « naam en voornaam, geslacht, geboortedatum, geboorteplaats, , geografisch adres, telefoonnummer, e-mailadres, IP-adres, burgerlijke staat, familiebanden, sociale media profielen, bankrekeningnummer, kentekenplaat » De Autoriteit stelt vast dat er een duidelijke discrepantie bestaat tussen de opdracht toegekend krachtens artikel 2, §4, van het ontwerp van koninklijk besluit en de aard van de persoonsgegevens die
3Artikel 2, §4 van het ontwerp van koninklijk besluit bepaalt: « de operationele samenwerking tussen de bevoegde autoriteiten bepaald in paragraaf 1, 5° kan bestaan uit een verwerking, met inbegrip van de uitwisseling tussen de bevoegde autoriteiten, van inlichtingen en informatie, waaronder eventueel persoonsgegevens in de zin van artikel 4, 1), van de Algemene verordening gegevensbescherming ».
in het kader van de uitvoering van die opdracht kunnen worden verwerkt. Met andere woorden, de aanvrager rechtvaardigt niet het doel waarvoor gegevens zoals "naam en voornaam, geslacht, geboortedatum, geboortedatum, geboorteplaats, geografisch adres, telefoonnummer, e-mailadres" worden uitgewisseld, laat staan de verwerking van gegevens zoals "IP-adres, burgerlijke staat, familiebanden, sociale mediaprofielen, bankrekeningnummer, nummerplaat"».
16. De aard van de in het ontwerp van koninklijk besluit voorziene verwerkingen komt meer overeen met de verwerkingen die worden uitgevoerd met het oog op opsporing en vervolging, die niet lijken te passen in het kader van de wettelijke opdracht van de ICSNP om "de totstandbrenging van synergieën op lokaal niveau tussen de bevoegde autoriteiten te omkaderen met het oog op de operationele samenwerking in de strijd tegen namaak en piraterij van intellectuele eigendomsrechten". Bovendien bepaalt artikel 2 §1 van het ontwerp van koninklijk besluit dat de opdrachten van de ICSNP moeten worden uitgevoerd
« Onverminderd de bevoegdheden die specifiek zijn toegekend aan de minister bevoegd voor Justitie en aan de procureurs-generaal door de artikelen 151 van de Grondwet en 143bis, 143quater en 146bis van het Gerechtelijk Wetboek”.
17. Het gebrek aan precisie met betrekking tot het doel en bijgevolg aan verantwoording van de proportionaliteit van de verwerking van de persoonsgegevens vermeld in artikel 2, §4 van het ontwerp van koninklijk besluit, leidt tot een gebrek aan proportionaliteit van de door het koninklijk besluit voorgestelde verwerkingen.
18. Betreffende de verwerking van het "rijksregisternummer" bedoeld in artikel 2, § 4, van het ontwerp van koninklijk besluit. De Autoriteit herinnert eraan dat overeenkomstig artikel 8 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen
« er geen machtiging vereist (is) om het rijksregisternummer te gebruiken wanneer dit gebruik uitdrukkelijk voorzien is door of krachtens een wet, een decreet of een ordonnantie ».
19. Over de verwerking « van de door de Kruispuntbank van Ondernemingen toegekende ondernemings- en vestigingsnummers en de aanverwante informatie" bedoeld in artikel 2, § 4 van het ontwerp van koninklijk besluit. De Autoriteit herinnert eraan dat overeenkomstig artikel 8 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid, het gebruik vrij is van « het identificatienummer van de Kruispuntbank, vastgesteld op de wijze bepaald door de Koning, indien het gegevens betreft die betrekking hebben op een natuurlijk persoon die niet in voormeld Rijksregister opgenomen is».
E. Bewaartermijn
20. Overeenkomstig artikel 5.1.e van de AVG mogen de gegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren gedurende een langere periode dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij zijn verkregen of waarvoor zij verder worden verwerkt.
21. Uit de door de aanvrager uitgevoerde effectbeoordeling blijkt dat het als «een goede praktijk wordt beschouwd om deze gegevens gedurende tien jaar te bewaren, te rekenen vanaf het moment dat het strafbare feit, of de laatste daad van een voortdurende overtreding, wordt ontdekt, omdat de duur van het onderzoek lang kan zijn, afhankelijk van de complexiteit van de strafbare feiten, en de termijnen in verband met de gerechtelijke procedure kunnen worden onderbroken/opgeschort zolang er geen autoriteit voor kracht van gewijsde is, en dat deze elementen moeten worden bewaard ». In plaats van een bewaartermijn vast te stellen, gerechtvaardigd door de hypothetische lange duur van een onderzoek, verzoekt de Autoriteit een kortere bewaartermijn vast te stellen, die in beginsel kan worden verlengd indien objectieve omstandigheden, zoals de duur van een onderzoek, dit rechtvaardigen.
22. De Autoriteit beveelt tevens aan om de bewaartermijn van de gegevens te vermelden in het ontwerp van koninklijk besluit zelf, om de transparantie naar de betrokken personen toe te vergroten.
F. Veiligheidsbeginsel
23. Het veiligheidsprincipe bij persoonsgegevensverwerkingen, als bedoeld in artikel 5.1.f van de en 31 van de AVG, verplicht iedere verwerkingsverantwoordelijke om de passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen die hij verwerkt en zich te beveiligen tegen oneigenlijk gebruik. Het toereikend karakter van deze beveiligingsmaatregelen hangt enerzijds af van de stand van de techniek en de kosten en anderzijds van de aard van de te beschermen gegevens en de potentiële risico’s.
24. Het laatste lid van artikel 2 van het ontwerp van koninklijk besluit is in overeenstemming met deze verplichting door te bepalen dat: « De bevoegde autoriteiten treffen passende technische en organisatorische maatregelen om bij de uitwisseling van de inlichtingen en informatie bedoeld in het tweede lid een op het risico afgestemd beveiligingsniveau te waarborgen ». In de effectbeoordeling van de aanvrager staat dat «de FOD Economie een Sharepoint ter beschikking van de ICSNP-leden zal stellen om een veilige uitwisseling van informatie en inlichtingen tussen de bevoegde autoriteiten mogelijk te maken». Zonder verdere details over
de beveiligingsmaatregelen voor de verwerkingen van gegevens via het "sharepoint", kan de Autoriteit in dit stadium geen besluit nemen. De Autoriteit herinnert eraan dat krachtens het beginsel van "verantwoordingsplicht" in artikel 5.2 van de AVG, de verwerkingsverantwoordelijke verplicht is het beveiligingsniveau vast te stellen dat voortvloeit uit het risico dat de door hem uitgevoerde gegevensverwerkingsactiviteiten met zich meebrengen.
25. De Autoriteit vestigt de aandacht op het feit dat in het kader van de gegevensuitwisseling tussen bevoegde autoriteiten enkel gemachtigde personen en/of autoriteiten over een toegang beschikken en zij enkel de gegevens mogen raadplegen waarvoor zij werden gemachtigd of enkel de verrichtingen mogen uitvoeren waarvoor zij een machtiging ontvingen. Dit vereist de uitwerking van een betrouwbaar gebruikers- en toegangsbeheer dat vaststelt welke gebruiker/toepassing toegang krijgt in welke hoedanigheid en in welke situatie tot welke soort gegevens betreffende welke personen en voor welke periode.4
Transparantie
26. Elke verwerkingsverantwoordelijke is krachtens artikel 5.1, en artikel 12 van de AVG verplicht ervoor te zorgen dat de verwerking van persoonsgegevens die hij verricht, transparant is. De aanvrager geeft aan in de effectbeoordeling die bij het ontwerp van koninklijk besluit is gevoegd, dat de betrokkenen op de hoogte worden gebracht door de publicatie van het ontwerp van koninklijk besluit.
27. Aan de transparantievereisten van de AVG kan niet worden voldaan door de enkel de publicatie van een Koninklijk Besluit. De Autoriteit herinnert eraan dat alle informatie als bedoeld in de artikelen 12, 13 (in het geval van rechtstreekse verzameling) en 14 (in het geval van indirecte verzameling) moet worden opgenomen in de informatie bestemd voor de betrokkene.
28. De Autoriteit herinnert ook aan de rechtspraak van het Hof van Justitie dat in een arrest van 1 oktober 2015 het volgende besliste : ""de artikelen 10, 11 en 13 van richtlijn 95/46/EG moeten aldus worden uitgelegd dat deze zich verzetten tegen nationale maatregelen (…) die een overheidsinstantie van een lidstaat toestaan persoonsgegevens over te dragen aan een andere overheidsinstantie die ze vervolgens verwerkt, zonder dat de betrokkenen zijn geïnformeerd over deze overdracht".
4 Aanbeveling met betrekking tot het toegangs- en gebruikersbeheer in de overheidssector (SE/2008/028) https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2008_0.pdf
Beperkingen op de rechten van de betrokkene
29. Het ontwerp van Koninklijk besluit voorziet in de effectbeoordeling - die tegelijk met die eerste werd voorgelegd - in een reeks beperkingen op de rechten van de betrokkenen door te verwijzen naar de wet van 5 september 2018. De Autoriteit herinnert eraan dat elke uitzondering op de rechten van de betrokkenen krachtens de AVG alleen gerechtvaardigd kan zijn op de in artikel 23.1 van de AVG genoemde gronden en in overeenstemming moet zijn met de vormen als voorgeschreven in artikel 23.2 van de AVG. Bovendien, moet elke uitzondering van dit type ook worden beperkt tot het strikt noodzakelijke, zowel in omvang als in duur, en dit blijkt nu niet uit de bepalingen in ontwerp.
De Autoriteit verwijst de aanvrager naar haar overwegingen hierover in haar eerdere adviezen 34/2018 van 11 april 2018 5, 41/2018 van 23 mei 20186 en 88/2018 van 26 september 7. Effectbeoordeling:
30. De aanvrager voegt bij het ontwerp van koninklijk besluit een effectbeoordeling van de verwerkingen als bedoeld in het ontwerp van koninklijk besluit. De Autoriteit beveelt aan om, indien een dergelijke effectbeoordeling wordt uitgevoerd, de analyse verder uit te diepen om de risico's die de verwerking met zich meebrengt, grondig te beoordelen en maatregelen te nemen om deze te beperken.
OM DIE REDENEN,
De Autoriteit verzoekt de aanvrager om rekening te houden met de volgende opmerkingen in het ontwerp van Koninklijk besluit betreffende de samenstelling en organisatie van de Interministeriële Commissie voor de strijd tegen namaak en piraterij te uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht:
- Punt 5 - De Autoriteit beveelt aan dat de rol van elke entiteit met betrekking tot artikel 4.7 en 4.8 van de AVG in het ontwerp van Koninklijk besluit zelf wordt aangegeven om de
[10]Dit arrest dateert van voor de inwerkingtreding van de AVG, maar behoudt ook in het huidig juridisch kader haar relevantie.
[9] Hof van Justitie 1oktober 2015 (C-201/14), Smaranda Bara.
5 Advies nr 34/2018 van 11 april 2018 inzake een voorontwerp van wet tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
6 Advies 41/2018 van 23 mei 2018 over een voorontwerp van wet houdende diverse financiële bepalingen.
7 Advies 88/2018 van 26 september 2018 betreffende het ontwerp van besluit van de Vlaamse Regering houdende aanpassing van de besluiten van de Vlaamse Regering aan de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG, en meer specifiek de consideransen 17 tot 31.
transparantie te vergroten en de effectieve uitoefening van de rechten van de betrokken personen mogelijk te maken;
- Punt 6 - De Autoriteit vestigt de aandacht op het feit dat voor toegang tot persoonsgegevens van een federale overheidsinstantie - overeenkomstig artikel 20 van de WVG - vooraf een protocolakkoord moet worden gesloten;
- Punten 11, 12 - De Autoriteit beveelt aan om een duidelijk onderscheid te maken tussen de wettelijke opdrachten van de bevoegde autoriteiten en de doeleinden waarvoor persoonsgegevens worden verwerkt;
- Punten 15 - 17 - De verwerking van bepaalde gegevens uit het ontwerp van Koninklijk besluit heeft geen specifiek doel, zodat niet kan worden vastgesteld of de verwerking in verhouding staat tot de betrokken doeleinden;
- Punt 21 - De Autoriteit beveelt aan om in beginsel een kortere bewaringstermijn vast te stellen, die kan worden verlengd indien objectieve omstandigheden dit rechtvaardigen;
- Punt 22 - De Autoriteit beveelt tevens aan om de bewaartermijn van de gegevens te vermelden in het ontwerp van koninklijk besluit zelf, om de transparantie naar de betrokken personen toe te vergroten;
- Punt 27 - De Autoriteit herinnert eraan dat alle informatie als bedoeld in de artikelen 12, 13 (in het geval van rechtstreekse verzameling) en 14 (in het geval van indirecte verzameling) moet worden opgenomen in de informatie bestemd voor de betrokkene.
(get.) An Machtens (get.) Alexandra Jaspar
Wnd. Administrateur Directeur van het Kenniscentrum
