KONINKRIJK BELGIE
Brussel, Adres : Hoogstraat, 139, B-1000 Brussel Tel.: +32(0)2/213.85.40 E-mail :
[email protected] Fax.: +32(0)2/213.85.65 http://www.privacycommission.be
COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER Sectoraal Comité van het Rijksregister
O. Ref. :
BERAADSLAGING RR Nr 28 / 2007 van 12 september 2007
SA2 / RN /MA/ 2007 / 025
BETREFT :
Agentschap Economie, Afdeling Economisch Ondersteuningsbeleid aanvraag om het identificatienummer van het Rijksregister te gebruiken met het oog op gebruikersbeheer.
Het Sectoraal comité van het Rijksregister (hierna “het comité”); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna “WRR”); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna “WVP”), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van het Agentschap Economie, Afdeling Economisch Ondersteuningsbeleid ontvangen op 5 juli 2007 en de bijkomende informatie ontvangen op 10 juli 2007; Gelet op de aanvraag van het technisch en juridisch advies op 3 augustus 2007; Gelet op het verslag van de voorzitter; Beslist op 12 september 2007, na beraadslaging, als volgt:
BER 28 - 2007- 1/5
I. VOORWERP VAN DE AANVRAAG ---------------------------------------------------------De aanvraag heeft tot doel om het Agentschap Economie, Afdeling Economisch ondersteuningsbeleid, hierna de aanvrager genoemd, te machtigen om het identificatienummer van het Rijksregister te gebruiken (art. 8 WRR) met het oog op gebruikersbeheer.
II. ONDERZOEK VAN DE AANVRAAG ----------------------------------------------------------A. TOEPASSELIJKE WETGEVING A.1. Wet van 8 augustus 1983 (WRR) Overeenkomstig de artikelen 5, eerste lid, 1°, en 8 WRR wordt de machtiging om het identificatienummer van het Rijksregister te gebruiken, verleend door het comité aan Belgische openbare overheden voor de informatiegegevens die zij gemachtigd zijn te kennen uit hoofde van een wet, een decreet of een ordonnantie. Artikel 6 van het kaderdecreet bestuurlijk beleid van 18 juli 2003 voorziet in de mogelijkheid voor de Vlaamse Regering om intern verzelfstandigde agentschappen zonder rechtspersoonlijkheid op te richten met het oog op het vervullen van taken van beleidsuitvoering. Dergelijke agentschappen blijven handelen onder het rechtstreeks gezag en de rechtstreekse verantwoordelijkheid van de bevoegde minister, zij het met een operationele autonomie. Juridisch gaat het om deconcentratie of het spreiden van de bevoegdheden van een openbare dienst over meerdere hiërarchisch ondergeschikte diensten of ambtenaren (Vlaams Parlement, zitting 2002-2003, stuk nr.1612, nr. 1, blz. 7). Een intern verzelfstandigd agentschap zonder rechtspersoonlijkheid moet dus als een openbare overheid gekwalificeerd worden. De aanvrager werd opgericht bij besluit van de Vlaamse Regering1 van 7 oktober 2005 als intern verzelfstandigd agentschap zonder rechtspersoonlijkheid (artikel 2). De missie van de aanvrager wordt in artikel 3 van dit besluit als volgt omschreven: “de concurrentiepositie van ondernemingen in Vlaanderen duurzaam te ondersteunen, te versterken en te stimuleren. Het voert, door middel van erkenningen, subsidie-, krediet- en andere maatregelen, de programma's van economische aard uit die de Vlaamse overheid goedkeurt.” In de mate dat de aanvrager met het oog op de uitvoering van deze taken het identificatienummer van burgers moet verwerken en controleren, komt hij op grond van de artikelen 5, eerste lid, 1°, en 8 WRR in aanmerking om gemachtigd te worden om dit nummer te gebruiken. A.2. Wet van 8 december 1992 (WVP) Op grond van artikel 4 WVP vormt het identificatienummer van het Rijksregister een persoonsgegeven, waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Persoonsgegevens dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verwerkt.
1
Besluit van 7 oktober 2005 van de Vlaamse Regering tot oprichting van het Agentschap Economie. BER 28 - 2007- 2/6
B. FINALITEIT Met het oog op het waarmaken van zijn missie neemt de aanvrager maatregelen ter ondersteuning van het economisch omgevingsklimaat en controleert hij de aanwending van de ingezette middelen. De Vlaamse Regering stelde een aantal financiële steunmaatregelen vast en het is de aanvrager die de dossiers tot het bekomen van steun behandelt en verder opvolgt. Met het oog hierop ontwikkelde de aanvrager drie webapplicaties2 teneinde de aanvragen tot steun langs elektronische weg in te dienen. Dit sluit aan bij het e-government principe en het streven naar administratieve lastenverlaging. Trouwens, artikel 21 van het besluit van de Vlaamse Regering van 16 december 2005 tot toekenning van steun aan kleine en middelgrote ondernemingen voor ondernemerschapbevorderende diensten, maakt het indienen van de aanvraag via de website verplicht en legt verder de elektronische afhandeling ervan op. Momenteel is de procedure om via deze webapplicaties een steunaanvraag in te dienen vrij omslachtig (voorafgaande registratie op basis van het ondernemingsnummer, na controle worden een unieke login en paswoord aangemaakt die per gewone post worden bezorgd aan de betrokken onderneming). De aanvrager wenst deze omslachtige procedure af te voeren en de toegangsbeveiliging tot zijn webtoepassingen te optimaliseren. Vandaar dat vanaf 1 oktober 2007 die toepassingen nog slechts toegankelijk zullen zijn voor geregistreerde personen, gemachtigd door de onderneming, die zich aanmelden via de EID of het federaal token. Dit vereist, in hoofde van de aanvrager, het op punt stellen van een adequaat gebruikersbeheer van de personen die zich bij hem registreren via de EID of het federaal token met het oog op het gebruik van de webtoepassingen. Het gebruikersbeheer omvat 3 stadia. De eerste twee zijn de identificatie3 en de authenticatie4. Indien deze stappen succesvol werden doorlopen, wordt het identificatienummer van de betrokkene meegedeeld aan de aanvrager. Daarna wordt aan de betrokkene gevraagd een aantal persoonsgegevens in te vullen die door de aanvrager aan het identificatienummer worden gekoppeld en opgeslagen met het oog de derde fase, de autorisatie die de toelating inhoudt om een bepaalde actie uit te voeren of om een bepaalde dienst te gebruiken. De elektronische identificatie en authenticatie moeten gebeuren op een beveiligde en zekere manier. De aanvrager moet zeker zijn van de identiteit van de persoon die zich via de webapplicatie aanmeldt, gelet op de handelingen die deze via de webapplicatie kan stellen en de gevolgen die eraan verbonden zijn.
2
Het betreft: - de groeipremie (Besluit van de Vlaamse Regering van 10 oktober 2003 tot toekenning van steun aan kleine en middelgrote ondernemingen voor investeringen in het Vlaamse Gewest); - de ecologiepremie (Besluit van de Vlaamse Regering van 1 oktober 2004 tot toekenning van steun aan ondernemingen voor ecologie-investeringen in het Vlaamse Gewest); - steun voor opleiding, advies, kennis en mentorschap (Besluit van de Vlaamse Regering van 16 december 2005 tot toekenning van steun aan kleine en middelgrote ondernemingen voor ondernemerschapbevorderende diensten). 3 Het toekennen van een unieke set van data die toelaat te weten wie een persoon is. 4 Het proces van verificatie om na te gaan of hetgeen beweerd wordt correct is (b.v. de identiteit wordt gecontroleerd aan de hand van een paswoord of pincode). BER 28 - 2007- 3/6
Om de autorisatie te kunnen verlenen moet de aanvrager – ongeacht of daartoe een token of de EID gebruikt wordt - bepaalde gebruikersgegevens bewaren zodat op elk ogenblik tot authenticatie kan overgegaan worden en het recht op toegang kan bepaald worden. In casu wordt geopteerd om daartoe het identificatienummer van het Rijksregister te bewaren. Het comité is van oordeel dat het hierboven vermelde en nagestreefde doeleinde welbepaald, uitdrukkelijk omschreven en gerechtvaardigd is in de zin van artikel 4, § 1, 2°, WVP en artikel 5, tweede lid, WRR.
C. PROPORTIONALITEIT C.1. Gebruik van het identificatienummer Het is essentieel voor de goede werking van het systeem, dat de gebruikers correct geïdentificeerd worden. Dit betekent dat misverstanden die kunnen ontstaan n.a.v. homonymie en foutieve schrijfwijzen moeten uitgesloten worden teneinde de verdere stappen van authenticatie en autorisatie niet te hypothekeren. Aan de hand van het identificatienummer van het Rijksregister, dat een uniek nummer is, kan een persoon precies geïdentificeerd worden. Het laat toe om de acties die een persoon stelt in het kader van steunaanvragen voor een bepaalde onderneming beter te volgen. Het comité besluit dat het gebruik van het identificatienummer, in het licht van het opgegeven doeleinde, in overeenstemming is met artikel 4, § 1, 3° WVP. C.2. Ten opzichte van de duur waarvoor het gebruik gevraagd wordt Het gebruik wordt voor onbepaalde duur gevraagd, gelet op het feit dat de aanvrager niet kan voorzien hoelang de webtoepassingen operationeel zullen blijven. Het comité stelt vast dat deze toepassingen deel uitmaken van de uitvoeringsmodaliteiten van een aantal besluiten van de Vlaamse Regering (zie voetnoot 2) waarvan de duur in de tijd niet is bepaald. In het licht hiervan is een machtiging voor onbepaalde duur verantwoord (art. 4, § 1, 3° WVP). C.3. Ten opzichte van de bewaartermijn In de bijkomende informatie verstrekt op 10 juli 2007 in verband met de bewaartermijn, meldt de aanvrager dat de bewaartermijn moeilijk concreet kan worden afgelijnd omdat: • •
het nummer wordt bijgehouden zolang de betrokkene zich niet uitschrijft en dus de mogelijkheid wenst te behouden om van de webtoepassingen gebruik te maken; de aanvrager volgens de instructies van het Rijksarchief de steundossiers en dus ook de gegevens van de eraan gekoppelde gemachtigde - die de steunaanvraag indiende – gedurende tien jaar moet bijhouden.
Het comité merkt daarenboven op dat de onder voetnoot 2 geciteerde besluiten allen gewag maken van de mogelijkheid om, in een aantal gevallen gedurende een periode die tot 10 jaar kan oplopen, de verleende steun terug te vorderen. Dit betekent dat de aanvrager hoe dan ook, los van de instructies van het Rijksarchief, reglementair verplicht is om die dossiers 10 jaar bij te houden. In bepaalde gevallen kan dit zelfs langer zijn wanneer de terugvordering het voorwerp uitmaakt van een gerechtelijke procedure. Concreet betekent dit eigenlijk dat de aanvrager het identificatienummer dus bijhoudt zolang dit nodig is om zijn taken uit te voeren en de instructies van het Rijksarchief dit voorschrijven. Een aldus afgebakende bewaartermijn is conform artikel 4, § 1, 5°, WVP.
BER 28 - 2007- 4/6
C.4. Intern gebruik en/ of mededeling aan derden In de aanvraag wordt gesteld dat het identificatienummer niet zal meegedeeld worden aan “onbevoegden”. Het comité neemt hiervan akte en vestigt de aandacht op wat hierna onder punt C.5 wordt vermeld m.b.t. de mededeling van dit nummer aan derden. C. 5. Netwerkverbindingen Uit de uitleg verstrekt door de aanvrager blijkt dat er op basis van het identificatienummer geen informatie met derden zal uitgewisseld worden en er bijgevolg geen netwerkverbindingen tot stand komen. Het comité vestigt er volledigheidshalve de aandacht op dat: -
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het comité daarvan voorafgaandelijk op de hoogte moet brengen; het identificatienummer van het Rijksregister slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens gemachtigd werden om dit nummer te gebruiken.
BEVEILIGING
D.
D.1. Consulent inzake informatieveiligheid De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. Uit de door de aanvrager verstrekte informatie blijkt dat de betrokkene: • • •
deze functie tot 2008 zal vervullen in combinatie met deze van afdelingshoofd van de afdeling Economisch Ondersteuningsbeleid; in zijn hoedanigheid van veiligheidsverantwoordelijke deel uitmaakt van de staf; relevante ervaring heeft opgebouwd m.b.t. de informatieveiligheidsproblematiek.
Op basis van de inlichtingen waarover het comité beschikt, stelt het vast dat de betrokkene over de nodige onafhankelijkheid beschikt om deze functie uit te oefenen en dat er in zijnen hoofde geen onverenigbaarheden bestaan. Hij kan bijgevolg aanvaard worden als veiligheidsconsulent. D.2. Het informatieveiligheidsbeleid Uit de door de aanvrager meegedeelde stukken blijkt dat hij over een veiligheidsbeleid beschikt evenals over een plan in toepassing ervan. Het comité heeft er akte van genomen. Uit het evaluatieformulier blijkt dat er geen login gebeurt wanneer persoonsgegevens in de gegevensbank(en) van de aanvrager geraadpleegd worden. Dit maakt het onmogelijk om onregelmatigheden of misbruiken vast te stellen. De afwezigheid van een systeem van login dat registreert welke persoon wanneer welke gegevens over een bepaalde persoon raadpleegde en waarom, maakt van ieder veiligheidsbeleid een lege doos. Rekening houdend met het feit dat het misbruik maken van een toegang tot persoonsgegevens een strafbaar feit is, is het aangewezen dat degelijke logins minstens gedurende 10 jaar bewaard worden. Het comité staat erop dat de aanvrager daartoe het nodige doet. BER 28 - 2007- 5/6
D.3. Personen die het identificatienummer van het Rijksregister mogen gebruiken en lijst van deze personen Een beperkt aantal personeelsleden van de aanvrager zullen toegang hebben tot het identificatienummer van het Rijksregister en het gebruiken. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die toegang hebben tot het Rijksregister en die het nummer gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het comité gehouden worden. De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren.
OM DEZE REDENEN, het comité 1° machtigt het Agentschap Economie, Afdeling Economisch Ondersteuningsbeleid om, met het oog op de verwezenlijking van het in punt B omschreven doeleinde en onder de voorwaarden omschreven in deze beraadslaging, voor onbepaalde duur het identificatienummer van het Rijksregister te gebruiken; Deze machtiging zal slechts uitwerking verkrijgen nadat het Agentschap Economie, Afdeling Economisch Ondersteuningsbeleid aan het comité de nodige stukken en inlichtingen heeft bezorgd waaruit blijkt dat voldaan wordt aan de onder punt D.2. geformuleerde opmerking. 2° bepaalt dat wanneer zij het Agentschap Economie, Afdeling Economisch Ondersteuningsbeleid een vragenlijst met betrekking tot de informatieveiligheidstatus toestuurt, deze laatste deze lijst waarheidsgetrouw moet invullen en terugbezorgen aan het comité. Dit zal de ontvangst bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren. De administrateur,
De voorzitter,
(get.) Jo BARET
(get.) Mireille SALMON
BER 28 - 2007- 6/6