betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten (AF-MA )

Transcriptie

1 1/265 Sectoraal comité voor de Federale Overheid Beraadslaging FO nr 08/2015 van 19 maart 2015 Betreft: Aanvraag van Federale Overheidsdienst Financiën betreffende de mededeling van verschillende categorieën gegevens in het raam van de oprichting van een datawarehouse overeenkomstig de bepalingen van artikel 5 van de wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten (AF-MA ) Het Sectoraal comité voor de Federale Overheid; Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid de artikelen 31bis en 36bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer, inzonderheid artikel 18; Gelet op de aanvraag van de Minister van Financiën ontvangen op 31/03/2014; Gelet op de verschillende gevraagde bijkomende inlichtingen en de antwoorden die hierop werden verstrekt, waaronder het laatste op 11/03/2015; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Fedict op 28/11/2014; Gelet op het technisch en juridisch advies ontvangen op 18/12/2014;

2 Beraadslaging FO 08 /2015-2/265 Gelet op de zitting van 18/12/2014 waarin door het Comité werd beslist dat het dossier niet in orde was om te worden behandeld; Gelet op de zitting van 29/01/2015 waar de aanvrager werd uitgenodigd om zijn aanvraag toe te lichten en de vragen van het Comité te beantwoorden Gelet op het verslag van de heren Marc Isgour en Serge Vermeir; Beslist op 19 maart 2015, na beraadslaging, als volgt: I. ONDERWERP EN CONTEXT VAN DE AANVRAAG 1. De Federale Overheidsdienst (FOD) Financiën ( hierna ook "de aanvrager" genoemd) vraagt een machtiging om verschillende categorieën gegevens mee te delen in het raam van de oprichting van een datawarehouse overeenkomstig de bepalingen van artikel 5 van de wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten (hierna de "wet van 3 augustus 2012"). Volgens de tweede paragraaf van dat artikel 5 is elke categorie van gegevens die in het datawarehouse wordt opgenomen, inderdaad onderworpen aan een machtiging van het Comité De wet van 3 augustus 2012 omkadert de gegevensuitwisselingen conform de WVP binnen de FOD Financiën. 3. In dit verband heeft de Commissie twee beslissingen genomen die rechtstreeks betrekking hebben op de bepalingen van deze wet. 4. Zij heeft vooreerst op 8 februari 2012 de aanbeveling nr. 02/2012 goedgekeurd betreffende de na te leven basisprincipes bij gegevensverwerkingen en -uitwisselingen waarbij de FOD Financiën is betrokken (hierna, "de aanbeveling nr. 02/2012") 1, die voorafging aan het voorontwerp van wet dat leidde tot de goedkeuring van de wet van 3 augustus

3 Beraadslaging FO 08 /2015-3/ Zij verleende vervolgens op 11 april 2012 het advies nr. 11/2012 omtrent het voorontwerp van wet betreffende de verwerkingen van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn bijzondere opdrachten Het Comité verstrekte op zijn beurt het advies nr. 01/2014 van 20 februari 2014 betreffende de ontwerpen van koninklijk besluit houdende uitvoering van respectievelijk de alinea's 1 en 3 van artikel 4 van de Wet van 3 augustus 2012 waarbij met het ene de interne instantie werd aangeduid die belast wordt met het machtigen van interne uitwisselingen van persoonsgegevens tussen administraties en/of diensten van de FOD en met het andere de procedure werd omschreven voor aanvraag om toegang tot persoonsgegevens die in het bezit zijn van een administratie en/of dienst van de FOD Financiën en anderzijds de procedure volgens dewelke deze uitwisseling plaatsvindt 3. Het Comité verstrekte zijn advies onder voorbehoud van goedkeuring door de Commissie die dit advies goedkeurde ter zitting van 26 februari Deze koninklijke besluiten werden tot op heden nog niet goedgekeurd. 7. De Commissie verstrekte overigens op 30/04/2014 het advies nr. 43/2014 over twee ontwerpen van koninklijk besluit ter uitvoering van respectievelijk de artikelen 8, 2 en 9, 2 van deze wet, het ene tot vaststelling van de samenstelling en de werking van de dienst voor Informatieveiligheid en Bescherming van de Persoonlijke levenssfeer (DIVBPL) binnen de Federale Overheidsdienst Financiën, evenals het statuut van de leden ervan en het andere tot vaststelling van de samenstelling en de werking van de Dienst voor het Toezicht binnen de FOD Financiën (CO-A ) 4. Ook deze koninklijke besluiten werden nog niet goedgekeurd. 8. Volgens artikel 5, 1 van de wet van 3 augustus 2012 kan de FOD Financiën de gegevens samenvoegen die zij verzamelt en verwerkt met het oog op de oprichting van een datawarehouse waarmee zijn diensten enerzijds in staat worden gesteld om gerichte controles uit te voeren op basis van risico-indicatoren en anderzijds analyses kunnen uitvoeren op relationele gegevens afkomstig van verschillende administraties en/of diensten van de FOD Financiën Adviesaanvraag betreffende de ontwerpen van koninklijk besluit houdende uitvoering van respectievelijk de alinea's 1 en 3 van artikel 4 van de Wet van 3 augustus 2012 houdende bepalingen betreffende de verwerking van persoonsgegevens door de Federale Overheidsdienst Financiën in het kader van zijn opdrachten (AF-A ) 4

4 Beraadslaging FO 08 /2015-4/ Zoals de Commissie herhaalt in haar aanbeveling nr. 02/2012, is datamining een gecodeerde vorm van statistische gegevensverwerking die toelaat om aan de hand van doorgedreven criteria en risicofactoren bepaalde fenomenen te detecteren, waarbij de gegevens gedurende de analyse gecodeerd blijven voor diegene die de analyse uitvoert. Enkel de onderzoeksresultaten zullen gedecodeerd worden teneinde doelgerichte controles uit te voeren. Gelet op het feit dat gecodeerde gegevens, precies omwille van de mogelijkheid tot decodering, impliceren dat de betrokkenen kunnen worden geïdentificeerd, wenst de Commissie te benadrukken dat deze gegevens onderworpen blijven aan het toepassingsgebied van de WVP. 10. Het datawarehouse is reeds in productie en sommige van de in onderhavige aanvraag gewenste bronnen waarvan de mededeling wordt gevraag, werden reeds geïntegreerd of gebruikt. Op termijn zou het concept datawarehouse er als volgt moeten uitzien: Figuur 1: architectuur van de vastgestelde oplossing Utilisateur Informations Services d exploitation des informations Informations Data Mart Data MartData Mart Data Mart Data Mart Data Warehouse ODS Stockage des informations Informations Métadonnées Opérationnelles Service d intégration de données Données Sources de données 11. De onderhavige beraadslaging betreft de door de aanvrager gevraagde mededeling van gegevens aan het datawarehouse. 12. Naast de in het datawarehouse geïntegreerde bronnen, brengt de aanvrager in zijn bijkomende toelichting het gebruik van marginale bronnen ter sprake die hij op dit ogenblik

5 Beraadslaging FO 08 /2015-5/265 niet kan integreren in het datawarehouse zoals die momenteel technisch ontworpen is. Deze integrator die zowel de geïntegreerde als de marginale bronnen bevat, zal hierna datawarehouse in zijn globale betekenis genoemd worden en komt overeen met het datawarehouse als bedoeld in artikel 5 1 van de wet van 3 augustus Omdat het begrip datawarehouse in het vervolg van de tekst zonder enige nadere omschrijving wordt gebruikt moet die term worden begrepen als datawarehouse in zijn globale betekenis. 13. Het Comité neemt akte van deze bijkomende bronnen die bestaan naast de bronnen van technische datawarehouse en van de wens die te gebruiken in het kader van een koppeling van deze twee soorten bronnen. 14. Het herinnert eraan dat geen enkele gegevensbron noch bestand mag worden gebruikt zonder een voorafgaande machtiging van het Comité, of die gegevens nu worden ingebracht in datawarehouse of daar buitenom worden aangewend. Het begrip datawarehouse als bedoeld in de wet van 3 augustus 2013 beoogt een samenvoeging van gegevens binnen een datawarehouse in algemene zin en niet uitsluitend als zijn strikte technische implementatie. 15. Onderhavige beraadslaging betreft bijgevolg ook het gebruik van deze marginale bronnen die gekoppeld zullen worden aan gegevens uit het technische datawarehouse. Die bronnen staan omschreven in bijlage 3 van onderhavige beraadslaging. 16. Het Comité merkt op dat indien de aanvrager nieuwe marginale bronnen zou willen gebruiken in het globale datawarehouse, hun mededeling onderworpen moet worden aan een nieuwe machtiging van het Comité net zoals de mededeling van categorieën gegevens aan het technische datawarehouse en dit overeenkomstig artikel 5, 2 van de wet van 3 augustus II. ONDERZOEK VAN DE AANVRAAG A. ONTVANKELIJKHEID 17. Conform 2 van artikel 5 van de wet van 3 augustus 2012 zal elke categorie gegevens die meegedeeld wordt aan het datawarehouse het onderwerp vormen van een machtiging van onderhavig Comité. 18. Het Comité is bijgevolg bevoegd.

6 Beraadslaging FO 08 /2015-6/265 B. TEN GRONDE 1. FINALITEITSBEGINSEL 19. Artikel 4, 1, 2, WVP laat de verwerking van persoonsgegevens slechts toe voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en de gegevens mogen bovendien niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Het Comité onderzoekt in de volgende paragrafen of deze beginselen in onderhavig geval worden nageleefd. 20. Het Comité merkt op dat de doeleinden van de samenvoeging van gegevens in het datawarehouse gespecificeerd zijn in 1 van artikel 5 van de wet van 3 augustus 2012, namelijk enerzijds gerichte controles uitvoeren op basis van risico-indicatoren en anderzijds analyses uitvoeren op relationele gegevens afkomstig van verschillende administraties en/of diensten van de FOD Financiën. 21. Deze doeleinden kaderen binnen de wettelijke opdrachten die aan de aanvrager werden toevertrouwd door verschillende wetteksten (wetboek van de inkomstenbelastingen, wetboek van de belasting over de toegevoegde waarde, wetboek der successierechten, ) en die door hem worden herhaald: opvolging van de veiligheidsmaatregelen inzake douane en accijnzen; opvolging van de administratieve machtigingen en controles inzake douane en accijnzen; heffing, invordering en terugbetaling aan de rechthebbenden van niet-fiscale schulden van de openbare overheden (penale en administratieve boeten, onbetaalde facturen uitgegeven door openbare diensten, ) en van particulieren (verschuldigde onderhoudsgelden); beheer van het roerend en onroerend eigen patrimonium van de Staat, omvattende de verwerving, verkoop en onteigening; vaststelling, controle, heffing en invordering van belastingen (personenbelasting, belasting op de toegevoegde waarde, registratierechten, successierechten, ) 22. Concreet wenst de aanvrager over te gaan tot de samenvoeging van gegevens van zijn administraties en diensten teneinde hetzij de correcte heffing van belastingen, taksen, retributies en andere rechten te verzekeren, hetzij een bepaald fiscaal beleid te evalueren, een categorie belastingplichtigen te informeren over een legaal belastingvoordeel of een wijziging voor te bereiden van de grondslag van deze belastingen, taksen, retributies en andere rechten van belastingplichtigen. In het eerste geval zullen de verrichtingen van

7 Beraadslaging FO 08 /2015-7/265 risicobeheer gekoppeld zijn aan controle- of invorderingsverrichtingen in die zin dat zij toelaten categorieën personen of gedragingen te identificeren die in aanmerking komen voor doorgedreven controle, hetzij aan typische fraudeverrichtingen. 23. De aanvrager verduidelijkt dat de thematieken die worden bedoeld in het raam van het eerste doeleinde bijvoorbeeld slaan op fraude inzake BTW-kredieten, opsporing van sommige risico's inzake BTW-onderwerping, fraude inzake notionele intrestaftrek, 24. Zo wil het datawarehouse verschillende projecten voor risicobeheer van de Algemene Administraties (AA) ondersteunen, die meer en meer hun beleid inzake risicobeheer structureren rond grote risicothematieken/-domeinen. Hieronder bijvoorbeeld: fraude inzake BTW-kredieten: thematiek waaraan voorrang wordt verleend door de AA fiscaliteit en de AA strijd tegen de fiscale fraude; risico op niet-betaling ingevolge een al dan niet frauduleus faillissement: thematiek waaraan voorrang wordt verleend door de AA inning en invordering; notionele intresten: thematiek waaraan voorrang wordt verleend door de AA fiscaliteit en de AA strijd tegen de fiscale fraude; anomalieën in de fiscale gegevens van rechtspersonen: thematiek waaraan voorrang wordt verleend door de AA fiscaliteit; verrekenprijzen: thematiek waaraan voorrang wordt verleend door de AA fiscaliteit; managementvennootschap: thematiek waaraan voorrang wordt verleend door de AA fiscaliteit; de bronnen douane en fiscaliteit werden gekozen in functie van de integratieprioriteiten voor de betrokken diensten. 25. Het Comité noteert dat volgens de uitleg van de aanvrager het datawarehouse gedeeltelijk werd gestructureerd volgens deze thematieken. 26. Het Comité stelt vast dat het in de wet van 5 augustus 2012 gebruikte begrip "risico" er niet anders wordt gedefinieerd en is van mening dat de aanvrager en in het bijzonder de dienst belast met de onderzoeken van de aanvragen voor toegang tot datawarehouse, met name de dienst informatiebeveiliging en bescherming van de persoonlijke levenssfeer van de FOD Financiën (nu Service Privacy), deze term restrictief moet interpreteren. 27. Betreffende het tweede doeleinde legt de aanvrager uit dat het bijvoorbeeld gaat om het evalueren van een voorstel van fiscaal beleid, het berekenen van de impact van een wijziging van de belastinggrondslag, in dit soort gevallen wordt de beslissing genomen of aangepast in functie van de verkregen resultaten na verwerking. Het kan ook gaan om de

8 Beraadslaging FO 08 /2015-8/265 analyse van gegevens met het oog op het beantwoorden van een parlementaire vraag, waarvoor soms een gegevensanalyse noodzakelijk is, die leidt tot het nemen van een beslissing wat de inhoud van het antwoord betreft. Er kan ook sprake zijn van het detecteren, analyseren en monitoren van uit fraude voortvloeiende fenomenen teneinde zich te richten op deze die een prioritair antwoord vereisen. 28. Het Comité stelt vast dat de gevraagde gegevens conform artikel 4, 1, 3 van de WVP worden samengevoegd voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. 2. PROPORTIONALITEITSBEGINSEL 2.1. Aan het datawarehouse meegedeelde gegevens (geïntegreerde bronnen) 29. Artikel 4, 1, 3 van de WVP stelt dat persoonsgegevens toereikend, ter zake dienend en niet overmatig dienen te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt. 30. Het Comité stelt vast dat een groot aantal categorieën gegevens gevraagd wordt. In onderhavig geval wenst de aanvrager 59 gegevensbronnen mee te delen aan het datawarehouse. 31. Deze bronnen en categorieën gegevens die ze omvatten zijn in onderhavig geval gedetailleerd beschreven in de twee tabellen die werden meegedeeld aan het Comité en die bij onderhavige beraadslaging werden gevoegd (bijlagen 1 en 2). 32. De aanvrager vraagt overigens bijkomend het gebruik van de in de marge gebruikte bronnen van het technische datawarehouse, te weten 11 interne bronnen van de administratieve diensten van de FOD Financiën en 25 externe bronnen. Die bronnen en categorieën gegevens waarop ze betrekking hebben, maken het voorwerp uit van bijlage 3 van onderhavige beraadslaging. 33. In haar aanbeveling nr. 02/2012 herinnerde de Commissie eraan dat het Comité zich moest kunnen uitspreken over elke categorie persoonsgegevens die wordt opgenomen in het datawarehouse om zich een voldoende gedetailleerd beeld te kunnen vormen van de in het datawarehouse opgeslagen informatie teneinde te kunnen beoordelen of hun gebruik conform de WVP is.

9 Beraadslaging FO 08 /2015-9/ Zoals de aanvrager verduidelijkt in zijn bijkomende verklaringen, kunnen alle gegevens die zullen samengevoegd worden in het datawarehouse in zijn globale betekenis, gebruikt worden voor een verwerking die kadert binnen een van beide door de wet voorziene doeleinden. De verwerking in het raam van deze twee doeleinden heeft als doel de FOD Financiën toe te laten zijn wettelijke opdrachten optimaal uit te voeren. Daartoe vindt men categorieën gegevens afkomstig van alle administraties van de FOD Financiën. 35. Uit de door de aanvrager uitgevoerde functionele analyses is gebleken dat de integratie of het gebruik van deze categorieën gegevens in het datawarehouse noodzakelijk is opdat het datawarehouse efficiënt zou kunnen aangewend worden. De FOD Financiën zal overigens niet alle categorieën gegevens integreren die hij in zijn bezit heeft. Alleen de categorieën die een concreet en onmiddellijk nut hebben worden beoogd. 36. Zo werden de bronnen die het belangrijkste activiteitsdomein ondersteunen, met name de risicoanalyse gekozen in functie van de hiervoor beschreven samenvoegingsprioriteiten. 37. Met betrekking tot het concrete gebruik van de gegevens door de eindgebruikers, dit wordt beschreven in de Data & Access Management (DAM) fiches die ingevuld worden door elke Algemene Administratie voor elke specifieke verwerking in de thematieken waaraan voorrang wordt verleend. 38. Betreffende de categorieën gegevens die aangewend worden voor strategische en operationele doeleinden, kan ieder in het datawarehouse opgeslagen gegeven in principe worden gebruikt. 39. Evenzo wordt de toegang tot deze gegevens geformaliseerd: deze wordt gevraagd aan de hand van de Data & Access Management (DAM) fiche die het tijdens de analyse nagestreefde doeleinde en de draagwijdte van de gegevens beschrijft. 40. Onder de gegevensbronnen waarvan de integratie in het datawarehouse wordt gevraagd bevindt zich een bijzondere bron, de transversale signaletiek ("SITRAN"). SITRAN is de applicatie voor het beheer van persoonsgegevens. Zij laat toe alle gegevens te visualiseren die afkomstig zijn van bronnen buiten de FOD Financiën zoals het Rijksregister, de Kruispuntbank voor ondernemingen of nog het Bis-register van de Kruispuntbank van de Sociale Zekerheid waarvoor de FOD over toegangsmachtigingen beschikt in het raam van de uitvoering van zijn wettelijke opdrachten.

10 Beraadslaging FO 08 / / Tijdens de zitting van 29/01/2015 heeft het Comité de aanvrager gevraagd naar het nut voor de risicoanalyse van de integratie van sommige gegevens zoals het telefoonnummer, het adres, enz. in het datawarehouse. De aanvrager heeft vervolgens aan het Comité precieze voorbeelden voorgelegd van het nut van deze gegevens. Zo verklaart de aanvrager in verband met het gegeven "adres" dat een project in verband met fictieve adressen de verwerking vergt van het gegeven "adres". Hetzelfde geldt voor projecten die geen personen maar gebouwen beogen Codering van de gegevens 42. Artikel 5, 2, 2 de lid van de wet van 3 augustus 2012 bepaalt dat het Comité er in het bijzonder over waakt dat de verwerking, waar mogelijk, geschiedt met gecodeerde persoonsgegevens. 43. Zoals de aanvrager uitlegt is de datawarehouse-omgeving opgevat om te beantwoorden aan de vereisten inzake codering en decodering van persoonsgegevens: een toegang tot de ODS 5 -laag en tot de datawarehouse-laag 6 zal per definitie worden afgesloten voor elk gebruik van de gegevens, of het nu gaat om het gebruiken van de gegevens voor het opstellen van data marts, of om het werkelijk analyseren van de gegevens om er kennis uit te verwerven; de dataminers (ook analisten genoemd) zullen slechts toegang hebben tot gecodeerde gegevens. De business-sleutels, met inbegrip van de identificatie van rechtspersonen, zullen vervangen worden door technische sleutels die automatisch worden gegenereerd door het datawarehouse. Bovendien zullen alle gegevens die toegevoegd worden aan het datawarehouse (fiscale gegevens, patrimoniumgegevens, ) verbonden worden aan een technische sleutel om hun koppeling toe te laten met signalementsgegevens; de gegevensanalisten zullen geen rechtstreekse toegang hebben tot de data martlaag 7 die de enige gebruiksklare laag is. Een toegangsbeeld tot de gegevens zal gecreëerd worden dat overeenstemt met de vooraf door de gebruikers gedefinieerde functionele omgeving; 5 Operational Data Store: de ODS laag vormt een technische laag niet toegankelijk voor de gebruikers die de kans biedt om alle gegevens van de bronnen op te slaan en er historische informatie aan toe te voegen (geactualiseerde en oude bestanden). 6 De datawarehouse-laag slaat de geconsolideerde informatie op. De gegevens die overeenstemmen met een specifiek gebruik worden gefilterd en georganiseerd volgens thema's die eigen zijn aan financiën: persoon, aangifteaspecten.bovendien bevatten ze een historiek: een historische verwijzing wordt gekoppeld aan elk nieuw gegeven teneinde de waarde in de tijd te kunnen nagaan. 7 De data marts slaan de informatie op die is afgeleid van het data warehouse en werd klaargemaakt voor precieze behoeften. Het is als het ware een soort "landing zone" met het oog op een specifiek en concreet gebruik van de gegevens.

11 Beraadslaging FO 08 / /265 persoonsgegevens die toelaten de persoon te identificeren (Rijksregisternummer, naam, voornaam, ) zullen in principe niet zichtbaar zijn: ze zullen uit het beeld verwijderd worden, behoudens uitdrukkelijke motivering dat de doeleinden van de verwerking niet kunnen verwezenlijkt worden met onduidelijke gegevens (mogelijkheid voorzien in artikel 5, 2, 2 de lid van de wet van 3 augustus 2012); de toegang tot een beeld zal afhankelijk zijn van de toekenning van een persoonlijke en passende login op basis van de actuele architectuur inzake Identity & Access Management; het referentiebestand dat toelaat de gegevens te decoderen en de gevoelige gegevens te recupereren zal ontoegankelijk zijn voor alle gebruikers, met uitzondering van de in de wetgeving bepaalde "Trusted Third Party" (Dienst voor het Toezicht van de FOD Financiën bedoeld in artikel 9 van de wet van 3 augustus 2012). Dit referentiebestand zal opgeslagen worden in het gedeelte datawarehouse. 44. De volgende chronologie illustreert de weerhouden beginselen: in een eerste fase wordt het ondernemingsnummer in de datawarehouse-laag vervangen door een technische sleutel. Hetzelfde gebeurt voor een declaratief gegeven waaraan een sleutel werd toegekend die identiek is de natuurlijke sleutel; in een tweede fase wordt het toegangsbeeld gecreëerd waarbij iedere toegang tot de naam van de onderneming wordt verboden. Slechts een deel van de informatie is zichtbaar voor de eindgebruikers. 45. Het Comité benadrukt de noodzaak om de verschillende gegevens waarvan de integratie in het datawarehouse wordt gevraagd te coderen en vraagt de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer erop toe te zien dat de verwerkingen gebeuren met gecodeerde gegevens en de analisten overeenkomstig artikel 5, 2, 2 de lid van de wet van 3 augustus 2012 slechts in uitzonderlijke omstandigheden te machtigen om te werken met niet-gecodeerde gegevens. 46. Tijdens de zitting van 29/01/2015 vroeg het Comité zich af op basis van welk identificatiemiddel het verband werd gelegd tussen de marginale bronnen, waarvan de gegevens niet in het datawarehouse werden geïntegreerd en die bijgevolg niet gecodeerd zijn, en de gegevens die opgenomen zijn in het datawarehouse. 47. De aanvrager verklaarde tijdens de zitting dat het rijksregisternummer wordt gebruikt als het verband moet gelegd worden met betrekking tot een persoon. In die gevallen wordt enkel het identificatiemiddel bewaard dat nuttig is om het verband te leggen (bv. indien het rijksregisternummer wordt bewaard worden de namen, voornamen,, verwijderd).

12 Beraadslaging FO 08 / / Het Comité neemt akte van het bestaan van deze filtering van de gegevens en voegt eraan toe dat het gebruik hiervan onontbeerlijk is. 49. Het Comité stelde in de loop van dezelfde zitting de bijkomende vraag of, zelfs wanneer men uitgaat van het rijksregisternummer of van het adres als koppelingssleutel, deze gegevens vervangen kunnen worden door een code. De FOD Financiën verduidelijkte dat dit technisch mogelijk is en in het verleden soms werd toegepast (bijvoorbeeld uitgaande van de databank -AS: inkomsten van natuurlijke personen) maar dat in dat geval de integratie minder kwalitatief is. De latere werking werd hierdoor minder performant. 50. Het Comité neemt hiervan nota. Niettemin vestigt het Comité de aandacht van de aanvrager erop dat de koppeling van gegevens afkomstig uit het technisch datawarehouse en deze uit marginale bronnen, die deel uitmaken van het globale datawarehouse, los van de filtering het voorwerp moeten uitmaken van een codeervorm. Het concludeert derhalve dat er een zogenaamde mini-codering moet plaatsvinden wat met zich meebrengt dat gewerkt wordt met een koppelingscode, bijvoorbeeld een afgeleide van het rijksregisternummer Toegang tot de gegevens 51. Volgens de verklaringen van de aanvrager zal de toegang tot de gegevens in de datawarehouse gekoppeld worden aan een formele en gemotiveerde aanvraag door een projectleider aan de hand van een Data Access Management (DAM) fiche. Deze aanvraag wordt ingediend per project en bevat de doeleinden van de verwerking, de toepasselijke wettelijke bepalingen, de beschrijving van de gegevens, hun plaats, de analisten die toegang hebben alsook de duur van het project. Alles wordt onderzocht door zowel de dienst ICT datawarehouse als door de huidige Dienst Privacy van de FOD Financiën (die de opdrachten uitvoert van de toekomstige dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer bedoeld in artikel 8 van de hogervermelde wet van 3 augustus 2012 in afwachting van het uitvoerend koninklijk besluit tot vaststelling van zijn samenstelling, zijn werking en het statuut van de leden waaruit hij is samengesteld). Het onderzoek betreft de technische aspecten maar tevens de doeleinden, de proportionaliteit en de veiligheid. Indien het onderzoek uitmondt in een negatief advies zullen de gegevens niet verstrekt worden. 52. Concreet, wanneer een aanvraag voor toegang tot het datawarehouse bij de Dienst Privacy wordt ingediend verloopt het goedkeuringsproces als volgt: de professionals (ook "business" genoemd) ontwikkelen een project en omschrijven dit in een DAM-fiche (Data & Access Management); deze fiche wordt verstuurd naar de "Privacyvertegenwoordiger" van de betrokken Algemene Administratie;

13 Beraadslaging FO 08 / /265 de "Privacyvertegenwoordiger" onderzoekt de fiche, stelt zo nodig vragen, vraagt aanpassingen; hij stuurt de fiche door naar de Dienst Privacy; deze vraagt het advies van de beheerder van de SAS omgeving die bevestigt dat deze beveiligde omgeving mag worden gebruikt ( indien dit niet het geval is is het advies gunstig op voorwaarde dat in safe-center gewerkt wordt of het dossier wordt gestopt); na advies van de dienst ICT onderzoekt de Dienst Privacy de fiche en stelt indien nodig vragen, vraagt aanpassingen, ; de fiche wordt vervolgens op de agenda geplaatst van een vergadering van het Privacycollege 8 (dat gemiddeld om de 14 dagen vergadert). De "Privacyvertegenwoordiger" van de betrokken algemene administratie stelt het project voor en beantwoordt eventuele vragen. Indien hij geen antwoorden kan verstrekken worden de vragen doorgespeeld aan de Business (opmerking: in sommige gevallen (recurrente fiches, aanpassing van een vroegere fiche met een gunstig advies), is er geen onderzoek door het College. De Dienst Privacy neemt rechtstreeks contact op met de vertegenwoordiger van de betrokken administratie); het advies wordt opgesteld; dit advies wordt verzonden aan de Voorzitter van het Directiecomité als belangrijkste bestemmeling. Krijgen een kopie: de Administrateur-generaal, de verantwoordelijke voor het risicobeheer van de administratie, de "Privacyvertegenwoordiger" van de administratie, de beheerder van de SAS omgeving, de verantwoordelijke voor het Beheer van transversale risico's. Deze laatste neemt het project en het advies op in een inventaris; indien de Voorzitter van het Directiecomité geen opmerkingen formuleert binnen de 15 dagen (eventueel via discussie in de schoot van het Directiecomité), wordt het advies een definitieve beslissing; na het positief advies: o worden één of meerdere "afbeeldingen" (ook "views" genoemd) gecreëerd met de gevraagde gegevens; o wordt toegang verleend aan de in de DAM-fiche vermelde analisten; de analist werkt met gecodeerde gegevens en verkrijgt een doelgroep; de lijst met resultaten wordt verstuurd voor decodering (zie hierna punt 2.4.); de dossiers worden gedecodeerd zodat zij kunnen worden opgenomen in het werkschema (eveneens gedocumenteerd in de DAM-fiche); 8 De beslissingen en adviezen van de Dienst Privacy worden genomen in overleg met het Privacycollege, samengesteld uit vertegenwoordigers van de business, met name een vertegenwoordiger van elke algemene administratie, een vertegenwoordiger van de omkaderingsdiensten Informatie- en communicatietechnologie en Personeel en Organisatie en een vertegenwoordiger van de diensten van de Voorzitter, aangeduid door de Voorzitter van het Directiecomité van de FOD Financiën op voorstel van de administratieoverste.

14 Beraadslaging FO 08 / /265 de "afbeelding" wordt verwijderd en de analisten hebben geen toegang meer tot de gegevens. 53. Het Comité neemt nota van de thans ingevoerde toegangsprocedure. Deze procedure en de huidige werkwijze van de Dienst Privacy werden bekrachtigd in de volgende ontwerpen van koninklijk besluit die werden voorgelegd en respectievelijk ontvangen voor advies door het Comité op 07/01/2014 en door de Commissie op 03/03/2014: - de koninklijke besluiten houdende respectievelijk uitvoering van de alinea's 1 en 3 van artikel 4 van de wet van 3 augustus 2012 waarbij met het ene de interne instantie werd aangeduid die belast wordt met het machtigen van interne uitwisselingen van persoonsgegevens tussen administraties en/of diensten van de FOD en met het andere de procedure werd omschreven voor aanvraag om toegang tot persoonsgegevens die in het bezit zijn van een administratie en/of dienst van de FOD Financiën en - de koninklijke besluiten, het ene tot vaststelling van de samenstelling en de werking van de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke levenssfeer binnen de Federale Overheidsdienst Financiën (DIVBPL), evenals het statuut van de leden ervan en het andere tot vaststelling van de samenstelling en de werking van de Dienst voor het Toezicht binnen de FOD Financiën conform de artikelen 8, 2 en 9, De eerst vermelde koninklijke besluiten zullen voor het ene de Voorzitter van het Directiecomité van de FOD Financiën officieel aanduiden als de instantie belast met het machtigen van de toegangen tot het datawarehouse en voor het andere onder meer de reglementaire toegangsprocedure voor het datawarehouse vaststellen. De andere geciteerde koninklijke besluiten zullen enerzijds de samenstelling en de werking vaststellen van de DIVBPL, onder meer belast met het verzekeren van de naleving van de regels inzake bescherming van persoonsgegevens en het verstrekken van juridische adviezen wanneer de federale overheidsdienst Financiën in het raam van datamining wordt geraadpleegd en anderzijds van de Dienst voor het Toezicht belast met de technische realisatie van de uitwisselingen van persoonsgegevens conform het technisch niveau, de reglementering en de machtigingen van het Comité. 55. Het Comité en de Commissie hebben zich respectievelijk op 20/02/ en 30/04/ gunstig uitgesproken over deze ontwerpen. 56. Aangezien deze koninklijke besluiten nog steeds niet werden goedgekeurd behoudt het Comité zich het recht voor toezicht uit te oefenen op hun effectieve implementatie en zich 9 Advies nr. 01/2014 : 10 Advies nr. 43/2014:

15 Beraadslaging FO 08 / /265 ervan te verzekeren dat de waarborgen die geboden worden door de toegangsprocedure tot het datawarehouse en het huidige besluitvormingsproces wel degelijk worden nageleefd Decodering van de gegevens 57. Artikel 5, 2, 2 de lid van de wet van 3 augustus 2012 bepaalt uitdrukkelijk "het Comité waakt erover dat de decodering enkel geschiedt wanneer het risico bestaat van het plegen van een inbreuk op een wet of een reglementering waarvan de toepassing behoort tot de opdrachten van de Federale Overheidsdienst Financiën". 58. Iedere verrichting voor decodering moet vooraf worden toegestaan door de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer, bedoeld in artikel 8 van de wet van 3 augustus 2012 (momenteel door de Dienst Privacy van de FOD Financiën uitgevoerde opdrachten). De dienst die instaat voor de codering/decodering is zowel onafhankelijk van de ICT-diensten als van de eindbestemmelingen van de gegevensverwerking. Het gaat om de toekomstige Dienst voor het Toezicht bedoeld in artikel 9 van de wet van 3 augustus 2012 die de rol zal vervullen van "Trusted Third Party" (betrouwbare derde). 59. Volgens de verklaringen van de aanvrager is de noodzakelijke decodering van de persoonsgegevens door de Dienst voor het Toezicht mogelijk via het gebruik van de technische sleutel en de omzettingstabel. 60. De decodering zal toelaten het dossier te bepalen dat moet gecontroleerd worden en het toe te wijzen aan de bevoegde controledienst. 61. Het Comité vraagt de Dienst voor het Toezicht van de aanvrager erop toe te zien dat decodering slechts plaatsvindt indien er een risico bestaat op het begaan van een inbreuk op een wet of een reglementering waarvan de toepassing behoort tot de opdrachten van de FOD Financiën overeenkomstig artikel 5, 2, 2 de lid van de wet van 3 augustus Het Comité merkt op dat de Dienst voor het Toezicht er mutatis mutandis op moet toezien dat de decodering met betrekking tot de minicodering (in het kader van een koppeling van gegevens uit het technisch datawarehouse met gegevens uit marginale bronnen) onder dezelfde voorwaarden gebeurt. 63. Het Comité behoudt zich het recht voor na te gaan op de toegangs- en coderings, en decoderingsprocedures effectief worden nageleefd door de aanvrager.

16 Beraadslaging FO 08 / / Bewaringstermijnen 64. Aangaande de bewaringstermijn van de gegevens herinnert het Comité er aan dat de gegevens niet langer bewaard mogen worden dan nodig voor het realiseren van het doeleinde waarvoor ze werden ingezameld (artikel 4, 1, 5, WVP). 65. Zoals de aanvrager verduidelijkt bestaan er verschillende relevante criteria om een beleid te bepalen inzake bewaringsduur voor de gegevens: de bewaringstermijnen, de verjaringstermijnen, de uitdoving van beroepsmogelijkheden, de door de wet op het Rijksarchief opgelegde verplichtingen Evenwel zijn de gegevens van het datawarehouse bestemd om gebruikt te worden door de verschillende administraties van de FOD Financiën waarvoor telkens specifieke bepalingen bestaan inzake verjaringstermijnen, beroepstermijnen, eventuele vonnissen,. Zo is de bewaringstermijn inzake patrimoniumdocumentatie zeer lang. 66. Bovendien zijn de wettelijke opdrachten niet beperkt in de tijd en zijn de processen waarin gegevens worden aangewend met het oog op het nemen van beslissingen cyclisch of continu: beantwoorden van parlementaire vragen, monitoring van fenomenen die voortspruiten uit fraude, opstellen van controleplanning,.bovendien vormt het feit om te kunnen werken met historische gegevens een troef voor dataminingacties. 67. Om deze redenen werd er geen technische bewaringstermijn voor het datawarehouse bepaald. De dataminers hebben daarentegen een beperkte toegang in de tijd tot de views (uit de bronnen afkomstige gegevens) voor de tijd die noodzakelijk is voor hun project, zoals beschreven in de DAM-fiche. Wanneer hun verwerkingen zijn uitgevoerd kunnen hun toegangen worden geschrapt. 68. De aanvrager heeft niettemin verduidelijkt, op de vraag van het Comité wat er in het datawarehouse gebeurt met de gegevens afkomstig van originele bronnen die niet meer kunnen worden gebruikt, dat in dat geval enkel een historiek wordt bewaard gedurende 7 jaar (termijn voor het opsporen van fraude). 69. Het Comité neemt akte van de uitleg van de aanvrager en verduidelijkt dat het aan de Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer (nu de Dienst Privacy) toekomt om na te gaan of de gegevens waarvan de verwerking wordt gevraagd middels DAM-bestanden, relevant zijn uitgaande van het nagestreefde controle- of onderzoeksdoeleinde.

17 Beraadslaging FO 08 / / Frequentie van de toegang en duur van de machtiging 70. De aanvrager vraagt een permanente gegevensmededeling aan het datawarehouse. Hij verduidelijkt dat de oorspronkelijke invoer in het datawarehouse eenmalig is maar dat de gegevens regelmatig zullen bijgewerkt worden. 71. Het Comité stelt overigens vast dat de doeleinden waarvoor de gegevens aan het datawarehouse meegedeeld worden niet beperkt zijn in de tijd en dat bijgevolg een machtiging om de gevraagde gegevens mee te delen aan het datawarehouse voor onbepaalde duur gepast is, mits de termijnen samengaan met onderhavige beraadslaging (artikel 4, 1, 3 van de WVP) Bestemmelingen en/of derden aan wie de gegevens worden meegedeeld 72. Volgens de door de aanvrager meegedeelde inlichtingen is de toegang tot de gegevens van het datawarehouse strikt voorbehouden aan de analisten (data miners) en aan de dossierbeheerders en wordt deze uitsluitend verleend na een aanvraag geformaliseerd aan de hand van een daartoe bestemd formulier, de Data & Access Management fiche (DAM). Deze fiche bevat de elementen die noodzakelijk zijn voor het controleren van de proportionaliteit, de veiligheidsmaatregelen en het documentatieaspect, namelijk welke zijn de beoogde doelstellingen en de gebruikte methodologie. 73. In principe weten de data miners niet over wie zij gegevens analyseren. De controle op zich wordt uitgevoerd door controleurs die de redenen niet kennen die aanleiding gaven tot de controle. 74. De aanvrager verduidelijkt dat de dataminers allen een interne opleiding genieten; zij worden opgeleid voor het gebruiken van de interne tools. Ze zijn met een dertigtal, vaak statistici en werken volgens gestandaardiseerde procedures in de schoot van verschillende (gedecentraliseerde) diensten van de FOD. In hun hoedanigheid van statutaire ambtenaren van de FOD Financiën, zijn zij onderworpen aan de deontologie van de ambtenaren, met name de vertrouwelijkheidsplicht. De FOD doet uitzonderlijk beroep op externe statistici voor specifieke expertise noden. In dat geval ondertekenen zij een disclaimer-agreement. 75. Het Comité neemt hiervan akte. Het dringt erop aan dat het uitzonderlijk blijft dat er beroep wordt gedaan op externe experts.

18 Beraadslaging FO 08 / / Het Comité merkt op dat de vertrouwelijkheidsplicht van de ambtenaren van de fiscale administratie onder meer voortvloeit uit de wettelijke bepalingen 11. Het vraagt de aanvrager om contractueel in eenzelfde verplichting te voorzien voor externe deskundigen. 77. Het Comité oordeelt dat het statuut van de interne analisten een waarborg vormt en moet in de mate van het mogelijke worden behouden. Hetzelfde geldt voor de administrateur van de databank van het datawarehouse (ook "super user" genoemd) die een statutaire ambtenaar is. 3. TRANSPARANTIEBEGINSEL 78. Het Comité herinnert eraan dat een eerlijke gegevensverwerking een verwerking is die op transparante wijze plaatsvindt. De verplichte kennisgeving in de zin van artikel 9, 2 van de WVP vormt een van de hoekstenen van een transparante verwerking. 79. In onderhavig geval zullen de geplande gegevensverwerkingen evenwel uitgevoerd worden krachtens een bepaling voorgeschreven door of krachtens een wet, een decreet of een ordonnantie. Bijgevolg is de vrijstelling van kennisgeving zoals bepaald in van artikel 9, 2, tweede lid b) van de WVP in dit geval van toepassing. 80. Het Comité herinnert er echter aan dat persoonsgegevens eerlijk moeten verwerkt worden (artikel 4, 1, 1 van de WVP. Een eerlijke verwerking impliceert dat de aanvrager het publiek in zekere mate informeert. 81. In dit verband stelt de aanvrager voor op verschillende wijzen informatie te verstrekken betreffende de latere verwerking in het raam van het datawarehouse. Zo stelt de aanvrager voor deze informatieverstrekking in te voegen in de toelichting bij het aangifteformulier die elk jaar wordt bijgewerkt door te verwijzen naar artikel 5 van de wet en naar de twee doeleinden. Tevens wordt bij de online aangifte (Tax-on-web) een pagina betreffende de bescherming van de privacy op de website geplaatst. Ook deze pagina wordt jaarlijks bijgewerkt en de aanvrager kan deze informatie hierin integreren. Sinds september 2014 is de lijst met de verschillende machtigingen van de verschillende bevoegde comités waarmee de FOD Financiën wordt gemachtigd om gegevens mee te delen of te ontvangen beschikbaar op de website van de FOD Financiën. De beslissingen van het Comité met betrekking tot het datawarehouse zullen eveneens op de website worden geplaatst. 11 Zie onder meer artikel 337 van het Wetboek van de Inkomstenbelastingen

19 Beraadslaging FO 08 / / Het Comité verzoekt de aanvrager deze voorstellen zo spoedig mogelijk uit te voeren teneinde de gewenste transparantie te verlenen aan de verwerkingen die worden uitgevoerd in het raam van het datawarehouse. Het stelt voor om in een link te voorzien tussen de pagina van Tax-on-web betreffende de bescherming van het privéleven en de lijst met machtigingen gepubliceerd op de website van de FOD Financiën. 4. VEILIGHEID 83. Het Comité neemt nota van de verklaringen van de aanvrager met betrekking tot de architectuur van de geïmplementeerde oplossing die als volgt is gestructureerd: Figuur 2: architectuur van de thans geïmplementeerde oplossing 84. De toegang tot de gegevens die opgeslagen zijn in de twee data mart gegevenslagen is onrechtstreeks. De analisten (data miners) hebben geen toegang tot fysieke tabellen maar tot een beeld van de gegevens dat zij kunnen manipuleren en analyseren maar niet wijzigen zodat de integriteit wordt gewaarborgd.

20 Beraadslaging FO 08 / / De toegangen worden overigens op informaticagebied gecontroleerd en getraceerd door middel van de Identity & Access Management oplossing die reeds meedere jaren geleden in de schoot van de FOD Financiën werd ingevoerd. Deze toegangen zullen beperkt worden tot een overeenkomstig een veiligheidsmatrix welbepaalde gebruikersgemeenschap. In de DWH-omgeving is de veiligheid gebaseerd op verschillende rollen. In de praktijk voorkomt deze scheiding van de rollen dat één enkele persoon "toegang heeft tot alles". Concreet worden drie soorten rollen gedefinieerd: Business; IT en " Trusted Third Party" (betrouwbare derde, met name de Dienst voor het Toezicht bedoeld in artikel 9 van de wet van 3 augustus 2012). Deze matrix bevat de verschillende actoren en hun rol in het raam van een gegevensverwerking. Ze wordt bij de DAM-fiche gevoegd alvorens door de Dienst Privacy machtiging wordt verleend voor de verwerking. De veiligheidsmatrix mag tevens slechts worden geïmplementeerd nadat de Dienst Privacy hiervoor toelating heeft gegeven. 86. De aanvrager beschikt over een consulent inzake informatiebeveiliging. 87. Het Comité stelt vast dat de aangeduide persoon reeds werd aanvaard in het raam van voorgaande machtigingen. 88. Volgens de door de aanvrager meegedeelde documenten blijkt dat hij over een veiligheidsbeleid beschikt. 89. Het Comité behoudt zich het recht voor de conformiteit te controleren van de effectief ingevoerde veiligheidsmaatregelen. OM DEZE REDENEN Het Comité machtigt de aanvrager op voorwaarde dat rekening wordt gehouden met zijn opmerkingen als omschreven onder de nummers 14, 16, 26, 45, 48, 50, 61, 62, 69, 76 en 77 om de in onderhavige machtigingsaanvraag bedoelde elektronische gegevens mee te delen aan het datawarehouse gedurende een hernieuwbare periode van 5 jaar teneinde: de effectieve toepassing van de coderings-, toegangs- en decoderingsprocedures en de ingevoerde veiligheidsmaatregelen te kunnen controleren;