Verslag vergadering Commissie voor Buitenlands Beleid, Europese Aangelegenheden, Internationale Samenwerking en Toerisme
Verslag
– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.
De heer Deckmyn heeft het woord.
Het Australische cybersecuritybedrijf Internet 2.0 heeft onlangs gedeeltelijk een database van de Chinese inlichtingendiensten kunnen inkijken.
Het betreft de zogenaamde Overseas Key Information Database (OKIDB). Deze database bundelt de gegevens van op zijn minst 2,4 miljoen buitenlanders die invloed hebben in hun nationale besluitvorming. De database werd bekend nadat een Chinese klokkenluider het bestand had doorgegeven aan een kennis en Internet 2.0 een deel van de gegevens kon bemachtigen. Onder meer de namen van 52.000 Amerikanen en 35.000 Indiërs, maar ook een kleine 700 Nederlanders en 686 Belgen duiken op. Het lijkt er echter op dat dit slechts het topje van de ijsberg is, aangezien slechts 10 procent van de database ingekeken kon worden. Het merendeel van de oorspronkelijke 2,4 miljoen namen is ergens tijdens de overdracht verloren gegaan, zo wordt gesteld.
De versie van OKIDB die door de krant De Standaard kon worden ingekeken, biedt een overzicht van een deel van de gegevens. Er wordt gesteld dat men inzage had in onder meer gegevens van de verenigingen waar Nathalie Muylle, toen federaal minister van Economie, mee verbonden was. De database vermeldt ook Laurette Onkelinx en haar echtgenoot, Vlaams Belangfractieleider Chris Janssens en nog vele anderen. In de media wordt gesteld dat het onrustwekkend is dat OKIDB ook focust op onderlinge relaties.
David Robinson van Internet 2.0 stelt dat dit zorgwekkend is: “Ten eerste waren er in de grote database duidelijk gegevens bij die uit moeilijker toegankelijke, vertrouwelijke offline bronnen kwamen, bijvoorbeeld juridische dossiers. Ten tweede geldt in Europa een privacywetgeving (GDPR), waarbij bedrijven zich moeten houden aan met de klant afgesproken gebruiksvoorwaarden. Gebruik van die gegevens door buitenlandse inlichtingsdiensten is tegen de regels. Peking lapt die Europese wetgeving dus aan zijn laars. Ons gebruik van sociale media vindt plaats binnen een afgesproken juridisch kader. Die regels vallen volledig weg zodra het Chinese veiligheidsapparaat data samenbrengt.” Zo wordt dus gesteld.
Patrick Van Eecke, professor Informaticarecht aan de Universiteit Antwerpen beaamt dit in de krant: “Gegevensbeschermingsautoriteiten in Europa zullen zeker argumenteren dat het gaat om monitoren van burgers in de EU, en dat de GDPR dus van toepassing is. Of de gegevens afkomstig zijn uit publieke bronnen of niet, doet niet ter zake.”
Ik vond dit ook nogal onrustwekkend en vroeg me af wat uw visie ter zake was.
Heeft de Vlaamse Regering in dit kader stappen ondernomen om na te gaan in hoeverre de belangen van Vlaamse betrokkenen werden geschaad? Zo ja, werd ook de Belgische Gegevensbeschermingsautoriteit (GBA) gecontacteerd?
Werd er nagegaan of leden van de Vlaamse Regering, het Vlaams Parlement of de Vlaamse instellingen in deze database werden opgenomen?
Heeft de Vlaamse Regering contact opgenomen met de Chinese ambassade om hierover protest aan te tekenen? Indien niet, bent u dat dan nog van plan?
Minister-president Jambon heeft het woord.
Mijnheer Deckmyn, ik neem uw eerste twee vragen samen. In ieder geval toont de problematiek die u schetst, nogmaals aan hoe belangrijk de bescherming van persoonsgegevens is. Alle burgers die zich in de EU bevinden, zijn beschermd door de Europese Algemene Verordening Gegevensbescherming (AVG), in het Engels de General Data Protection Regulation (GDPR). Die verordening trad op 24 mei 2016 in werking en is van toepassing sinds 25 mei 2018. De AVG beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen, in dezen burgers die zich in de EU bevinden, en met name hun recht op bescherming van persoonsgegevens.
Ik kreeg geen meldingen binnen van leden van de Vlaamse Regering, het Vlaams Parlement of de Vlaamse instellingen wier naam in de database zou zijn opgenomen. De Vlaamse Regering heeft tot nog toe dan ook geen stappen ondernomen. De betrokkenen dienen immers het best klacht in bij de Gegevensbeschermingsautoriteit. Artikel 3 van de AVG bepaalt dat de AVG van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist, of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt. Mijns inziens is ingevolge voornoemd punt b) de AVG van toepassing en dienen de betrokkenen het best klacht in bij de GBA. De GBA kan dan een onderzoek starten. De GBA is bevoegd om inbreuken op de grondbeginselen van de bescherming van de persoonsgegevens ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, een rechtsvordering in te stellen, teneinde deze grondbeginselen te doen naleven. In ons systeem is dus in rechtsgang voorzien voor inbreuken op dat recht.
Hebben we contact opgenomen met de Chinese ambassade? Zoals gezegd, is het in de eerste plaats aangewezen dat de betrokkenen klacht indienen bij de GBA. De procedure bij de GBA kan leiden tot gerechtelijke stappen door de GBA en door andere Europese toezichthoudende autoriteiten.
Wanneer men zich dus slachtoffer voelt, moet men richting de gerechtelijke autoriteiten kijken, in dezen de GBA.
De heer Deckmyn heeft het woord.
Dank u voor uw antwoord, minister-president. Gegevensbescherming is uiteraard erg belangrijk. Daarom is de AVG er ook gekomen: om te versterken wat op dat vlak al bestond in Europa.
Ik vond uw antwoord dat er geen melding werd gemaakt van Vlaamse parlementsleden in die database, nogal vreemd, omdat ik er in mijn vraag om uitleg zelf melding van gemaakt heb. Ik weet niet op welke manier die meldingen bij u of uw diensten zouden moeten binnenkomen, maar in mijn antwoord vermeld ik Vlaams Belangfractieleider Chris Janssens en nog een andere Vlaams Belangmandataris. Maar goed, het is maar dat u weet dat er dus wel melding van gemaakt is.
U hebt natuurlijk gelijk als u zegt dat er klacht zou moeten worden ingediend bij de GBA, maar – en dat is een beetje mijn bezorgdheid – niet iedereen weet dat of is zich daarvan bewust. Daarom vroeg ik in mijn tweede deelvraag of er is nagegaan of er leden van de Vlaamse Regering, het Vlaams Parlement of de Vlaamse instellingen in deze database zijn opgenomen. Ik vermoed dat dat nog niet gebeurd is, want u spreekt nog maar van melding maken. Bent u van plan om hier alsnog opdracht toe te geven?
Mevrouw Talpe heeft het woord.
Minister-president, ik zal het kort houden. We weten allemaal dat cybersecurity in een wereld die steeds digitaler wordt, iets is waar we alle aandacht voor moeten hebben. Met de GDPR hebben we grote stappen vooruit gezet. Het was geen gemakkelijke oefening om daarover iedereen op één lijn te krijgen.
Ik wou even verwijzen naar mijn vraag om uitleg van 7 juli over de vermoedens van cyberaanvallen op Europese gezondheidsinstellingen. Ik denk dat we daar niet licht over mogen gaan en het lijkt me ook een thema dat we moeten meenemen naar de Europese Top over China in november. Mijn concrete vraag is dan ook of u dat effectief zult doen.
Minister-president Jambon heeft het woord.
Dank u wel, collega’s.
Mijnheer Deckmyn, de GBA is eigenlijk een federale bevoegdheid. Ik zal er bij mijn federale collega’s op aandringen dat zij mogelijke slachtoffers op de hoogte brengen van de gerechtelijke stappen die ze kunnen zetten.
Mevrouw Talpe, ik zal er inderdaad op toezien dat we die thematiek via onze vertegenwoordiging in Europa zeker mee op de agenda zetten – als ze al niet op de agenda staat, want iets in mij zegt mij dat dit een breed gedragen bekommernis is. Maar ik zal daar de nodige stappen toe ondernemen.
De heer Deckmyn heeft het woord.
Minister-president, ik wil u bedanken dat u de GBA de concrete vraag zult stellen. Ik denk dat dat belangrijk is voor alle eventuele betrokken. Ik weet, het is niet omdat je niet aangesproken wordt dat je er niet in staat, aangezien er slechts een fractie van de mensen op de lijst bekend is, maar het zou voor de mensen die er zeker in staan, wel al interessant zijn dat ze ervan op de hoogte zijn.
De vraag om uitleg is afgehandeld.