1/13
Sectoraal comité van het Rijksregister
Beraadslaging RR nr 35/2012 van 4 april 2012
Betreft: Machtigingsaanvraag van de Koninklijke Federatie van het Belgisch Notariaat om het nationaal nummer te gebruiken in het raam van het beheer van de toepassing "Notaclick" (RN-MA2011-336)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van de Koninklijke Federatie van het Belgisch Notariaat ontvangen op 20/12/2011; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 09/03/2012; Gelet op het verslag van de Voorzitter;
Beraadslaging RR 35 /2012 - 2/13
Beslist op 4 april 2012, na beraadslaging, als volgt: I.
ONDERWERP EN CONTEXT VAN DE AANVRAAG
1. De Koninklijke Federatie van het Belgisch Notariaat (KFBN) biedt via de beveiligde website www.notaclick.be aan individuele burgers de mogelijkheid om via elektronische weg een bod te doen in het raam van openbare verkopen van onroerende goederen. Dit platform wordt ontwikkeld door CREDOC, technisch filiaal van de KFBN. 2. De KFBN wenst het identificatienummer van het Rijksregister te gebruiken ("RRN") voor het gebruikersbeheer en om bewijzen te bewaren van de acties van de gebruikers. 3. De website vraagt de gebruikers om zich via hun elektronische identiteitskaart ("eID") op authentieke wijze te registreren. Om de gebruiker te identificeren zal de KFBN met hun toestemming de gegevens gebruiken die opgeslagen zijn op hun kaart, waaronder het RRN. De gebruiker zal eveneens moeten bevestigen dat hij de gebruiksvoorwaarden van de website www.notaclick.be aanvaardt. Zijn gegevens zullen bewaard worden in een database die het gebruikersbeheer toelaat en zullen gewist worden indien er gedurende drie jaar niet wordt ingelogd door de gebruiker1. 4. Alvorens een bod te kunnen doen zal de reeds als gebruiker geregistreerde kandidaat-koper door de notaris die belast is met de openbare verkoop moeten gemachtigd worden om deel te nemen aan de biedingen en zal hij aan de hand van zijn elektronische handtekening en het handtekeningcertificaat op zijn eID het lastenboek van de bedoelde verkoop moeten ondertekenen. Het systeem zal daartoe het RRN meedelen aan de instrumenterende notaris. 5. De verrichtingen die uitgevoerd worden bij elke bod zullen geregistreerd worden in een specifieke database. Deze gegevens zullen eens de biedingen afgelopen zijn geanonimiseerd worden behalve voor de laatste vijf bieders waarvan de biedingen gedurende 30 jaar zullen bewaard worden. 6. De kandidaat-koper die de veiling wint zal persoonlijk voor de instrumenterende notaris moeten verschijnen wat betekent dat het niet langer mogelijk is eigenaar te worden van een gebouw zonder vooraf persoonlijk voor een notaris te zijn verschenen. II.
1
ONDERZOEK VAN DE AANVRAAG
De gegevens betreffende de ondertekening van de gebruiksvoorwaarden van de website zullen eveneens bewaard worden in deze database en zullen na 10 jaar vernietigd worden.
.
Beraadslaging RR 35 /2012 - 3/13
A.
TOEPASSELIJKE WETGEVING
A.1. Wet van 8 augustus 1983 (WRR) 7. De machtiging om mededeling te krijgen van de bij artikel 3, eerste en tweede lid van de Wet tot
regeling
van
een
Rijksregister
van
de
natuurlijke
personen
("WRR")
bedoelde
informatiegegevens en om het identificatienummer van het Rijksregister te gebruiken kan door het Comité verleend worden "aan de openbare en private instellingen van Belgisch recht voor
de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité". (Art. 5, 1ste lid, 2° van de WRR) 8. De KFBN werd erkend als instelling van Belgisch recht die een opdracht van openbaar belang uitvoert en valt derhalve onder toepassing van artikel 5, 2de lid, a) van de WRR. Een van deze opdrachten van algemeen belang bestaat uit "de verbetering van het functioneren van het
notariaat en de organisatie van alle diensten die in rechtstreeks of onrechtstreeks verband staan met de notariële activiteit".2 9. Het Koninklijk Besluit van 14 april 2002 waarmee de vzw Koninklijke Federatie van het Belgisch Notariaat gemachtigd werd om toegang te hebben tot de informatiegegevens van het Rijksregister en om het identificatienummer ervan te gebruiken machtigt de Federatie overigens om toegang te hebben tot de informatie bedoeld in artikel 3, 1 ste lid, 1° tot 9°en 2de lid van de WRR met het oog op "het mededelen aan de notarissen, door de bemiddeling van haar
diensten, van de informatie die zij nodig hebben in het kader van de taken die tot hun bevoegdheid behoren" (artikel 1, 1ste lid, 1°). 10. In toepassing van het Koninklijk Besluit van 11 september 1986 waarbij aan notarissen toegang wordt verleend tot het Rijksregister van de natuurlijke personen, hebben de notarissen toegang tot de informatie bedoeld in artikel 3, 1 ste lid, 1° tot 9°en 2de lid van de WRR " Voor het
vervullen van de taken die tot hun bevoegdheid behoren". 11. De notarissen werden met de beraadslaging RR nr. 58/2008 van 10 december 2008 gemachtigd om het RRN te gebruiken als selectiecriterium binnen de informaticatoepassing die zij ter beschikking hebben voor de geautomatiseerde raadpleging van het Rijksregister.
2
Voormeld verslag aan de Koning en artikel 4 van de statuten van de vzw, gepubliceerd bij de KBO onder het ondernemingsnummer 0409357321.
Beraadslaging RR 35 /2012 - 4/13
12. Indien na analyse blijkt dat het gebruik van het RRN werkelijk noodzakelijk is opdat de notarissen de bevoegdheden zouden kunnen uitoefenen die hen werden verleend, kadert de huidige aanvraag binnen de machtiging die reeds door de Koning aan de aanvrager werd verleend. In het andere geval moet de huidige aanvraag beschouwd worden als een aanvraag voor machtigingsuitbreiding. A.2. Wet van 8 december 1992 (WVP) 13. Het
identificatienummer
en
de
informatiegegevens
van
het
Rijksregister
vormen
persoonsgegevens. Artikel 4 van de WVP eist van elke verantwoordelijke voor de verwerking dat
hij
slechts
gegevens
inzamelt
voor
welbepaalde,
uitdrukkelijk
omschreven
en
gerechtvaardigde doeleinden. B.
DOELEINDEN
14. Uit de ingediende aanvraag blijkt dat het doeleinde van de door de KFBN geplande verwerking van het RRN tweeledig is:
Enerzijds wenst de KFBN het RRN te gebruiken voor het gebruikersbeheer, voor "de goede werking van het systeem", vanuit de overtuiging dat het gebruik van het RRN toelaat de gebruikers op een zekere en ondubbelzinnige wijze te identificeren. Dit nummer zal later gebruikt worden als de gebruiker zich inlogt aan de hand van zijn eID waarbij dit nummer als uniek identificatiemiddel zal gelezen worden. Het Comité merkt op dat de aanvrager in een afzonderlijke database een intern nummer zal gebruiken dat zal gekoppeld worden aan het RRN om de gebruiker te identificeren.
Anderzijds wenst de aanvrager het RRN te bewaren als bewijsmiddel voor verschillende verrichtingen. Zo zullen de verschillende biedingen van een gebruiker bewaard worden maar eveneens de voorafgaande goedkeuring van het lastenboek betreffende de verkoop. Net zoals voor het gebruikersbeheer zal de identificatie van de gebruiker gebeuren via het RRN dat gelezen wordt op zijn eID 3.
3
In het raam van de Notaclick toepassing worden vier databases ontwikkeld:
De database "logging" die alle verrichtingen bevat die uitgevoerd worden door alle gebruikers (zelfs nietgeregistreerde) en die gewist wordt na 30 dagen;
De databank "gebruikersbeheer" die de gegevens bevat van de geregistreerde gebruikers en die toegang verleent tot bepaalde meer uitgebreide finaliteiten van Notaclick. De gebruikers moeten zich identificeren aan de hand van hun eID en de gebruiksvoorwaarden van de website Notaclick ondertekenen;
De databank "auction services" die de gegevens bevat van elke verkoop per opbod maar niet het RRN bevat;
Beraadslaging RR 35 /2012 - 5/13
15. Er dient te worden vermeld dat het RRN eveneens zal meegedeeld worden aan de instrumenterende notaris zodat hij de vereiste controles kan uitvoeren met betrekking tot de potentiële kopers en hen machtigen om deel te nemen aan de biedingen. 16. Het Comité oordeelt dat de beoogde doeleinden welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn in de zin van artikel 4, §1, 2° van de WVP. C.
PROPORTIONALITEIT C.1. Voorafgaande opmerking betreffende het gebruik van de eID en het registreren van de hierop opgeslagen gegevens
17. Het Comité herinnert eraan dat artikel 6, § 4 van de Wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten en tot wijziging van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen bepaalt dat "Elke geautomatiseerde controle van (de kaart) door optische
of andere leesprocédés moet het voorwerp uitmaken van een koninklijk besluit, na advies van het sectoraal comité van het Rijksregister bedoeld in artikel 15 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen " Tot op heden werd dit Koninklijk Besluit nog niet goedgekeurd. 18. Het Comité stelt vast dat de Commissie de bevoegde minister reeds herhaaldelijk heeft gewezen op het ontbreken van het vereiste koninklijk besluit en hierbij de nadruk legde op het feit dat het ontbreken van dit uitvoeringsbesluit voor gevolg heeft dat talrijke vragen met betrekking tot het gebruik van de eID onbeantwoord blijven 4. 19. Een van de gestelde vragen betreft in welke omstandigheden het toegelaten is de voorlegging van de identiteitskaart te eisen en de gegevens die erop opgeslagen zijn te lezen of deze zelfs te registreren, onder meer het RRN dat zij bevat. Het gebruik van het RRN is overigens automatisch bij het elektronisch ondertekenen aan de hand van de elektronische identiteitskaart aangezien dit nummer geïntegreerd is in het handtekeningcertificaat dat wordt opgeslagen door de partij die de bewijsstukken archiveert.
4
De databank "auditing" die een journaal bevat van de verrichtingen van geregistreerde gebruikers (aanvaarding van de gebruiksvoorwaarden, ondertekening van het lastenboek, biedingen).
Zie onder meer beraadslaging RR nr. 02/2008 van 16 april 2008, punten 3 en volgende; Advies nr. 13/2005 van de Commissie van 7 september 2005.
Beraadslaging RR 35 /2012 - 6/13
20. De Commissie oordeelde reeds dat "een persoon slechts geïdentificeerd wordt als dit
noodzakelijk blijkt te zijn voor de verwezenlijking van de nagestreefde gegevensverwerking"5. Voor de openbare sector wordt deze problematiek geregeld door het Koninklijk besluit van 25 maart 2003 betreffende de identiteitskaart dat in uitvoering van artikel 6, §7 van de wet van 19 juli 1991 betreffende de bevolkingsregisters en de identiteitskaarten, de autoriteiten en openbare officieren aanduidt op wier verzoek de identiteitskaart moet worden voorgelegd. Zo is bepaald dat de identiteitskaart voorgelegd moet worden telkens de politie erom verzoekt of bij iedere aangifte of verzoek om een attest, bij een tussenkomst van een gerechtsdeurwaarder of in het algemeen wanneer dat noodzakelijk is om de identiteit van een persoon vast te stellen. 21. Ook de operatoren uit de privésector mogen in bepaalde omstandigheden een persoon identificeren met behulp van de identiteitskaart. Dit is het geval wanneer het voor de uitvoering van een contract noodzakelijk is een medecontractant vooraf te identificeren of wanneer een wettelijke bepaling dat vereist6. 22. Het Comité heeft reeds geoordeeld dat de gevallen waarin de EID moet getoond worden, dezelfde gebleven zijn als voor de identiteitskaart “oude stijl”. Het overleggen van de identiteitskaart “oude stijl” met het oog op de controle van de identiteit leidde en leidt niet tot het systematisch noteren van de op de identiteitskaart vermelde persoonsgegevens, noch tot het systematisch kopiëren ervan. Slechts wanneer dit met het oog op bepaalde vaststellingen nodig is, zullen ze genoteerd worden (proportionaliteitsbeginsel - artikel 4, § 1, 3°, van de WVP). De invoering van de EID wijzigt niets aan dit principe. Dit betekent dat m.b.t. de lezer slechts gegevens mogen geregistreerd worden in de mate dat dit nodig en verantwoord is in het licht van het doeleinde 7. 23. Inzake kopie en toegang tot de gegevens van de identiteitskaart heeft de Commissie geoordeeld "De voorlegging of de lezing van de elektronische identiteitskaart resulteert dan wel
niet in een kopie van de kaart maar in de verzameling van de relevante gegevens op de kaart. In toepassing van artikel 4 van de WVP, mag de verantwoordelijke voor de verwerking uitsluitend die gegevens inwinnen die strikt noodzakelijk zijn voor de geplande verwerking (bijvoorbeeld de naam, de voornamen en de geboortedatum die worden ingeschreven in een bezoekersregister). De Commissie herinnert er eveneens aan dat wanneer er geen wettelijke machtiging bestaat in de formele betekenis van het woord, ieder gebruik van het identificatienummer van het Rijksregister een voorafgaande machtiging vereist van het
5
Aanbeveling 03/2011, punt 12.
6
Aanbeveling 03/2011, punt 14
7
Aanbeveling 02/2008 van 16 april 2008, punten 12 en 13
Beraadslaging RR 35 /2012 - 7/13
Sectoraal comité van het Rijksregister. Zonder dergelijke machtiging mag dit nummer in geen geval worden geregistreerd"8. 24. Het Comité oordeelt naar analogie met de Commissie dat sommige gegevensverwerkingen perfect uitgevoerd kunnen worden zonder een beroep te doen op de identificatie- en authenticatiemiddelen van de elektronische identiteitskaart. Dit is het geval wanneer de eenduidige identificatie van gebruikers van online diensten niet noodzakelijk is voor de verwerking. C.2. Proportionaliteit van het gebruik van het RR voor gebruikersbeheer 25. Het Comité begrijpt dat de aanvrager het RRN wenst te verwerken van gebruikers die zich registreren op de website www.notaclick.be. De aanvrager rechtvaardigt dit gebruik door te stellen dat de gebruikers correct moeten geïdentificeerd en gemachtigd worden wat inhoudt dat misverstanden die zouden kunnen ontstaan ingevolge homonymie moeten uitgesloten worden. 26. Welnu, de machtigingen afgeleverd door het Comité dienen er net voor te zorgen dat het gebruik van het RRN als identificatiemiddel niet gebanaliseerd wordt en enkel aangewend wordt wanneer dit gerechtvaardigd is en proportioneel met het beoogde doeleinde. Hoewel het gebruik van het RRN als uniek identificatiemiddel voor gebruikers van een webservice erg praktisch voor de operator van deze service, toch moet de mededeling en het gebruik van het RRN voorbehouden worden voor uitzonderlijke gevallen zo niet zou iedere online service zich bij deze werkwijze aansluiten en zou dit een reëel risico opleveren voor de bescherming van personen van wie het RRN zou gebruikt worden zonder geldig motief. 27. Om zijn aanvraag te ondersteunen verwijst de KFBN naar de beraadslaging nr. 58/2008 van het Comité. Deze beraadslaging betrof echter de toegang van gebruikers tot het systeem dat ter beschikking van de notarissen werd gesteld om het Rijksregister te raadplegen en om de traceerbaarheid van deze toegangen op een betrouwbare en ondubbelzinnige wijze te organiseren. In onderhavig geval meent het Comité dat de identificatie van personen die zich registreren op de website www.notaclick.be zonder beslist te hebben of zij een bod zullen uitbrengen (de "passieve gebruikers") niet een dusdanige sterke authenticatie vereist als in het geval van een toegang tot gevoelige informatie. 28. Bovendien wil de aanvrager de gebruiksvoorwaarden van zijn website laten ondertekenen door de geregistreerde gebruikers, ongeacht of zij passief zijn (geregistreerde gebruikers die nog
8
Aanbeveling 03/2011, punt 22
Beraadslaging RR 35 /2012 - 8/13
geen bod hebben uitgebracht) of actief. Het Comité stelt evenwel vast dat de bedoelde gebruiksvoorwaarden
reeds
tegenstelbaar
tegenover
iedere
persoon
die
de
website
www.notaclick.be gebruikt, zonder dat de ondertekening ervan aan de hand van de elektronische
identiteitskaart
noodzakelijk
is.
De
contractuele
inhoud
van
deze
gebruiksvoorwaarden vergt in dit stadium dus niet dat de passieve gebruikers deze aanvaarden aan de hand van het certificaat op hun eID opdat deze hen tegenstelbaar zouden zijn. 29. Het gebruik van het RRN voor het gebruikersbeheer is slechts denkbaar onder de voorwaarden vermeld in punt C.1. Welnu, het Comité meent dat het gebruik van de identiteitskaart in dit stadium van registratie voorbarig is aangezien dit geen sterke authenticatie noch het gebruik van het RRN vereist. 30. Bijgevolg oordeelt het Comité dat het gebruik van het RRN
disproportioneel is voor het
verwezenlijken van het doeleinde gebruikersbeheer. C.3. Proportionaliteit van het gebruik van het RRN voor bewijsdoeleinden 31. De aanvrager wenst het RRN eveneens te bewaren voor bewijsdoeleinden, onder meer om te kunnen aantonen wie op welk ogenblik via elektronische weg het lastenboek en de gebruiksvoorwaarden van de website ondertekende, maar ook om een spoor te bewaren van de personen die een bod hebben gedaan, voor welk bedrag en op welk ogenblik. Welnu, het RRN is niet bedoeld om als bewijsmiddel te dienen voor om het even welke transactie of handeling van de titularis. Het doel ervan bestaat onder meer uit het met zekerheid identificeren van een persoon als dit noodzakelijk is voor het verwezenlijken van een welbepaald doeleinde. Het gebruik van het RRN als uniek identificatiemiddel van een gebruiker is dus disproportioneel ten opzichte van het beoogde doeleinde dat erin bestaat bewijzen te bewaren van de handelingen van de gebruiker. 32. Het Comité meent evenwel dat de aanvrager het recht heeft om aan de potentiële kopers te vragen dat zij ondertekenen of zich identificeren aan de hand van hun elektronische identiteitskaart aangezien het belangrijk is een sterk en juridisch moeilijk betwistbaar bewijs te bewaren van de uitgebrachte biedingen op de website alsook van hun kennisname van het lastenboek. 33. Het bewijs waarin de aanvrager aldus wenst te voorzien vereist het gebruik van het elektronisch handtekeningcertificaat. Het is dus onmogelijk te ondertekenen of zich te identificeren aan de hand van de eID zonder het RRN dat vermeld is op de kaart te bewaren.
Beraadslaging RR 35 /2012 - 9/13
34. Om deze redenen oordeelt het Comité dat het gebruik van het RRN niet beantwoordt aan het bewijsdoeleinde van de aanvrager en dus disproportioneel is, behoudens in de mate dat dit RRN geïntegreerd is in het elektronisch handtekeningcertificaat waarmee de gebruiker heeft ondertekend of zich heeft geïdentificeerd. C.4. Mededeling van het RRN aan de instrumenterende notaris 35. Artikel 1 van de Wet Ventôse jaar XI op het notarisambt bepaalt dat alleen de notarissen bevoegd zijn om onroerende goederen openbaar te verkopen. 36. Het Gerechtelijk Wetboek vertrouwt in veel gevallen de openbare verkoop van onroerende goederen toe aan de notarissen9. Overeenkomstig artikel 1589 van het Gerechtelijk Wetboek kan de notaris het bod weigeren van personen die hem onbekend zijn of van wie de identiteit of de gegoedheid hem niet bewezen schijnen10. 37. Ingeval van verkoop ingevolge uitvoerend beslag bepaalt artikel 1591 van het Gerechtelijk Wetboek bovendien dat de notaris geen biedingen mag aanvaarden van de rechters die hebben meegewerkt aan de vonnissen en beschikkingen op de vordering ter uitwinning gewezen, de ambtenaren van het openbaar ministerie die voor deze vonnissen conclusies hebben gegeven; van de beslagene; van de echtgenoot van de beslagene, van de voogd of de curator van de beslagene. 38. Om een persoon te machtigen om deel te nemen aan de elektronische biedingen heeft de notaris het RRN nodig van de potentiële bieder maar dient hij eveneens met zekerheid vast te stellen dat het welk degelijk die persoon is die gevraagd heeft om deel te nemen aan de biedingen. Daarom identificeert de gebruiker zich aan de hand van zijn elektronische identiteitskaart. 39. De controle door de notaris van de informatie van het Rijksregister betreffende de gebruiker kadert in zijn opdrachten als notaris. Krachtens artikel 2 van het Koninklijk Besluit van 14 april 2002 is de KFBN gemachtigd om het RRN te gebruiken, onder meer om aan de notarissen de
9
Hierbij kunnen we de verkoop citeren van onroerende goederen die geheel of gedeeltelijk (aan minderjarigen, aan onbekwaam verklaarden of aan personen aan wie een voorlopige bewindvoerder is toegevoegd krachtens de artikelen 488bis, a) tot k), van het Burgerlijk Wetboek) of aan vermoedelijk afwezigen (art. 1186 en 1187 van het Gerechtelijk Wetboek) onroerende goederen die behoren tot nalatenschappen aanvaard onder voorrecht van boedelbeschrijving of tot onbeheerde nalatenschappen (art. 1189 van het Gerechtelijk Wetboek) onroerende goederen die tot een failliete boedel behoren (art. 1190 van het Gerechtelijk Wetboek); de onroerende goederen verkocht in het raam van een gerechtelijke verdeling, uitvoerend beslag of collectieve schuldenregeling (art. 1560 en v. van het Gerechtelijk Wetboek) 10
Artikel 1589 van het Gerechtelijk Wetboek
Beraadslaging RR 35 /2012 - 10/13
informatie mee te delen die zij nodig hebben voor het uitvoeren van de taken die tot hun bevoegdheden behoren. 40. De mededeling van het RRN door de aanvrager aan de notarissen kadert dus binnen de machtiging die reeds aan de aanvrager werd verleend door het Koninklijk Besluit van 14 april 2002. C.5. Betreffende de frequentie en de duur waarvoor het gebruik van het RRN wordt gevraagd 41. De frequentie van het gebruik van het RRN is onbepaald aangezien het nummer zal gebruikt worden telkens als een persoon op de website www.notaclick.be zal ondertekenen of zich elektronisch zal identificeren. 42. De machtiging om het RRN te gebruiken voor het voormelde doeleinde wordt gevraagd voor onbepaalde duur aangezien de opdracht van de notarissen noch de levensduur van de website www.notaclick.be beperkt is in de tijd. 43. Het Comité stelt vast dat het met het oog op de verwezenlijking van het voormelde doeleinde inderdaad onmogelijk is een termijn te bepalen gedurende welke de aanvrager over een machtiging moeten beschikken. Er wordt dus een machtiging voor onbepaalde duur verleend (artikel 4, § 1, 3°, WVP). C.6. Betreffende de bewaringstermijn 44. De aanvrager heeft verklaard dat hij slechts de ondertekenings- en identificatiegegevens van de laatste vijf bieders zal bewaren gedurende 30 jaar, zijnde de verjaringstermijn voor zakelijke rechtsvorderingen. 45. Alle andere gegevens betreffende andere personen die deelgenomen hebben aan de biedingen zullen door de aanvrager moeten vernietigd worden met inbegrip van de certificaten waarmee zij hebben ondertekend of zich hebben geauthentiseerd.
46. Elke bewaring van het RRN dat voordien werd meegedeeld aan de instrumenterende notaris is verboden en in elk geval na afloop van de biedingen, behalve wat betreft het RRN dat geïntegreerd is in het certificaat dat verbonden is aan de identiteitskaart.
Beraadslaging RR 35 /2012 - 11/13
47. Het Comité stelt vast dat de door de aanvrager voorgestelde bewaringstermijnen conform zijn aan artikel 4, § 1, 5° van de WVP. C.7. Betreffende de transparantieverplichting 48. Zoals de Commissie herhaalde "zou bijzondere aandacht kunnen worden besteed aan de
analyse van de installatiemogelijkheid van een techniek waarmee de houders van een identiteitskaart, de gegevens die zij verstrekken tijdens de elektronische lezing van hun kaart, kunnen controleren of, waarmee ten minste de transparantie wordt verzekerd van de gegevens die de verantwoordelijke van de verwerking verwerkt tijdens de elektronische lezing van de kaart".11 49. Krachtens artikel 9 van de WVP moet iedere verantwoordelijke voor de verwerking die gegevens inzamelt bij een persoon deze informeren over welke gegevens hij juist inzamelt, over het of de exacte doeleinde(n) waarvoor zij worden of zullen worden verwerkt alsook in voorkomend geval de ontvanger(s) van de gegevens. 50. Bij het gebruik van de eID zal de aanvrager dus duidelijk en afzonderlijk aan de betrokkene moeten meedelen welke gegevens worden ingezameld met zijn identiteitskaart, welke doeleinden hiermee worden nagestreefd, welke verwerking hiermee zal worden uitgevoerd (bewaring, mededeling) en aan welke potentiële derden deze gegevens zullen worden meegedeeld (notarissen, gerechtelijke autoriteiten,…). C.8. Intern gebruik en/of mededeling aan derden 51. De aanvrager heeft vermeld dat hij de gegevens intern zou gebruiken voor logging en gebruikersbeheer. Welnu, het Comité weigert het gebruik van het RRN als dusdanig voor deze doeleinden. 52. Bovendien vermeldt de aanvrager in zijn aanvraag dat hij het RRN zal meedelen aan de betrokken autoriteit in het raam van een gerechtelijk of administratief onderzoek. Het Comité herinnert eraan dat het RRN slechts mag bewaard worden in het certificaat en uitsluitend voor de laatste vijf bieders. Bijgevolg mag de aanvrager het RRN niet gebruiken als zoekcriterium om te beantwoorden aan een gerechtelijk of administratief verzoek.
11
Aanbeveling van de Commissie nr. 03/2011, punt 8.
Beraadslaging RR 35 /2012 - 12/13
53. Ten slotte zal de aanvrager aan de instrumenterende notaris het RRN meedelen van de kandidaat-kopers zodat de notaris de identiteit van de potentiële kopers kan controleren alsook in voorkomend geval hun bekwaamheid om een bod uit te brengen. 54. Het Comité stelt dus vast dat in het licht van artikel 4, § 1, 3° van de WVP enkel een gebruik van het RRN zoals bepaald in de punten C.3 en C.4 toelaatbaar is, op voorwaarde dat rekening wordt gehouden met het voorbehoud dat gemaakt werd onder punt C.3. C.9. Netwerkverbindingen 55. Uit de door de aanvrager meegedeelde informatie blijkt dat er geen enkele informatie zal uitgewisseld worden met derden (behalve de notarissen) op basis van het identificatienummer en dat er bijgevolg geen netwerkverbinding zal zijn. 56. Het Comité neemt hiervan akte. Voor de volledigheid benadrukt het Comité dat:
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen;
het identificatienummer van het Rijksregister in ieder geval slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens gemachtigd werden om dit nummer te gebruiken.
D. VEILIGHEID D.1. Consulent inzake informatieveiligheid 57. De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. Hij lijkt te beschikken over de vereiste competenties om deze opdracht uit te voeren. D.2. Informatieveiligheidsbeleid 58. Uit
de
door
de
aanvrager
verstrekte
documenten
blijkt
dat
hij
over
een
informatieveiligheidsbeleid beschikt en dit praktisch op het terrein uitvoert. D.3. Personen die toegang hebben tot de gegevens, het RRN gebruiken en de lijst van die personen
Beraadslaging RR 35 /2012 - 13/13
59. Uit de aanvraag blijkt dat er een lijst bestaat met medewerkers die gemachtigd worden om het RRN te gebruiken en dat elke gemachtigde beambte een verklaring zal ondertekenen waarmee hij zich ertoe verbindt het vertrouwelijk karakter van het RRN te eerbiedigen. Deze lijst zal door de KFBN ter beschikking van het Comité gehouden worden. 60. Het Comité vestigt de aandacht van de aanvrager op de noodzaak om deze lijst voortdurend bij te werken en ter beschikking van het Comité te houden.
OM DEZE REDENEN, Het Comité, Weigert de aanvraag om het RRN te gebruiken als identificatienummer in het raam van het gebruikersbeheer van de website Notaclick.be, Machtigt de KFBN om het RRN uitsluitend te gebruiken om mee te delen aan de instrumenterende notaris voor de openbare verkopen waarmee zij zijn belast, Merkt op dat de bewaring van de certificaten die verbonden zijn aan de elektronische identiteitskaart en die het RRN bevatten slechts toegelaten is voor bewijsdoeleinden; en dit alles mits eerbiediging van de punten 49 tot 51 van de onderhavige beraadslaging. De Wnd. Administrateur,
De Voorzitter,
(get.) Patrick Van Wouwe
(get.) Mireille Salmon
