1/11
Sectoraal comité van het Rijksregister
Beraadslaging RR nr 24/2011 van 20 april 2011
Betreft: aanvraag van het Juridisch Informatiecentrum voor toegang tot het Rijksregister in het kader van het ICT-platform “Juridisch Informatiecentrum” toegankelijk voor de aangesloten gerechtsdeurwaarders (RN/MA/2011/038)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van de private stichting Juridisch informatiecentrum JIC, ontvangen op 11/02/2011; Gelet op de bijkomende informatie ontvangen op 04/04/2011 en op 06/04/2011; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 30/03/2011;
Beraadslaging RN 24 /2011 - 2/11
Gelet op het verslag van de Voorzitter; Beslist op 20 april 2011, na beraadslaging, als volgt:
I. VOORWERP VAN DE AANVRAAG 1.
De aanvraag strekt ertoe om de private stichting Juridisch Informatiecentrum JIC, hierna de
. .
aanvrager, te machtigen om:
.
toegang te hebben tot de informatiegegevens vermeld in artikel 3, eerste lid, 1° tot 9°, 13° en tweede lid (historiek), WRR;
het identificatienummer van het Rijksregister te gebruiken;
met het oog op de organisatie en coördinatie van de gegevenstoegang van gerechtsdeurwaarders tot overheidsgegevensbanken en hun onderlinge informatie-uitwisseling.
II. ONDERZOEK VAN DE AANVRAAG A. TOEPASSELIJKE WETGEVING A.1. Wet van 8 augustus 1983 (WRR) 2.
Overeenkomstig de artikelen 5, eerste lid, 2°, en 8 WRR wordt de machtiging om toegang te
verkrijgen tot of om mededeling te bekomen van de informatiegegevens bedoeld in artikel 3, eerste en tweede lid, WRR en om het identificatienummer van het Rijksregister te gebruiken, verleend door het Comité aan de openbare en private instellingen van Belgisch recht voor de
informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité . De aanvrager is een private stichting. Artikel 27 van de wet van 27 juni 1921 waarbij aan de
3.
verenigingen
zonder
winstgevend
doel
en
aan
de
instellingen
van
openbaar
nut
rechtspersoonlijkheid wordt verleend , bepaalt in dat verband dat:
in het kader van een stichting een vermogen wordt aangewend ter verwezenlijking van een bepaald belangeloos doel;
een stichting rechtspersoonlijkheid heeft.
Beraadslaging RN 24 /2011 - 3/11
Het doeleinde van de aanvrager wordt in artikel 4 van zijn statuten omschreven als: de
4.
bevordering van de harmonisatie en betrouwbaarheid van gegevenstoegang en informatieuitwisseling tussen gerechtsdeurwaarders, in het bijzonder maar niet uitsluitend in het kader van beschermde overheidsbronnen. In artikel 5 worden de activiteiten omschreven die de aanvrager zal verrichten in de context van dit doeleinde. Daartoe behoort o.a. het ontwikkelen van een informaticaplatform dat de aangesloten gerechtsdeurwaarders toelaat om op elektronische,
beveiligde, logbare en traceerbare wijze informatie op te vragen uit verschillende overheidsbronnen en/of overheidsdatabanken op elk bestuursniveau, (…). 5.
De Commissie voor de Bescherming van de Persoonlijke Levenssfeer is er reeds geruime tijd
voorstander van dat aan de leden van een bepaalde beroepsgroep toegang wordt verleend tot het Rijksregister – en bij uitbreiding tot andere overheidsdatabanken – via een tussenpersoon1 zoals de orde of instantie met disciplinaire bevoegdheid, waarbij diegene die een toegang wenst aan de tussenpersoon de reden van de raadpleging moet meedelen met het oog op controle van de finaliteit van de raadpleging. Vooraleer toegang te verlenen, controleert de tussenpersoon of de aanvrager op dat ogenblik nog over de vereiste hoedanigheid beschikt. 6.
Er werden reeds een aantal machtigingen verleend die erop gericht waren de toegang van
een beroepsgroep via een tussenpersoon – die niet de orde van de betrokken beroepsgroep, noch de disciplinaire instantie was - mogelijk te maken, namelijk:
koninklijk besluit van 14 april 2002 waarbij de V.Z.W. Koninklijke Federatie van het Belgisch
Notariaat gemachtigd wordt om toegang te hebben tot de informatiegegevens van het Rijksregister van de natuurlijke personen en het identificatienummer ervan te gebruiken ;
beraadslaging RR nr. 06/2006 van 1 maart 2006 waarbij een machtiging werd verleend aan de Nationale Kamer van Gerechtsdeurwaarders.
7.
Teneinde deze organisaties in staat te stellen om respectievelijk aan de notarissen en de
gerechtsdeurwaarders de informatiegegevens mee te delen waarover deze laatsten ingevolge machtiging kunnen beschikken, werden zij gemachtigd om toegang te hebben tot dezelfde informatiegegevens. 8.
De aanvrager - die geen commercieel doeleinde nastreeft - zet zijn vermogen belangeloos in
om een dienst uit te bouwen die overheidsdatabanken ten behoeve van de aangesloten gerechtsdeurwaarders ontsluit met bijzondere aandacht voor:
1
Advies nr. 30/1998 van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer van 25 september 2008
betreffende het Rijksregister.
Beraadslaging RN 24 /2011 - 4/11
de voorwaarden waaronder toegang tot deze gegevensbanken wordt verleend en de controle op de naleving ervan;
het creëren van een ondubbelzinnige audit-trail;
het verwezenlijken van een degelijk informatieveiligheidsbeleid.
9.
Het komt neer op het implementeren van het vier-ogenprincipe ingevolge hetwelk het risico
misbruik van toegang tot overheidsgegevensbanken wordt geminimaliseerd en dus bijdraagt tot een verhoging van de bescherming van de persoonlijke levenssfeer van de burgers, van wie gegevens in die databanken zijn opgenomen wat uiteindelijk betekent dat de aanvrager het algemeen belang dient. 10. om
Op basis van de artikelen 5, eerste lid, 2°, en 8 WRR komt de aanvrager dus in aanmerking toegang
te
hebben
tot
de
informatiegegevens
van
het
Rijksregister
en
om
het
identificatienummer te gebruiken. 11.
Het
Comité
vestigt
er
de
aandacht
op
dat
indien
de
aanvrager
een
andere
rechtspersoonlijkheid aanneemt, indien zijn statutair doeleinde wordt aangepast, indien zijn ledenstructuur fundamenteel wijzigt – andere dan gerechtsdeurwaarders - , hij het Comité daarvan onmiddellijk moet informeren zodat het kan nagaan of de voorwaarden voor het behoud van de machtiging nog vervuld zijn.
A.2. Wet van 8 december 1992 (WVP)
12.
Op grond van artikel 4 WVP vormen de informatiegegevens en het identificatienummer van
het Rijksregister persoonsgegevens, waarvan de verwerking slechts is toegelaten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De persoonsgegevens dienen bovendien toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verwerkt.
B. FINALITEIT
13.
De gerechtsdeurwaarders (en bij uitbreiding hun medewerkers) die een beroep doen op de
diensten van de aanvrager teneinde de informatiegegevens van het Rijksregister te raadplegen voor het vervullen van de taken die tot hun bevoegdheid behoren2, zullen daartoe bij de aanvrager aanloggen en zich identificeren via hun EID. Het Comité benadrukt dat dit inhoudt dat de aanvrager over geen eigen autonome toegangsrechten moet kunnen beschikken. Vermits ten overstaan van de
2
Koninklijk besluit van 16 mei 1986 waarbij aan gerechtsdeurwaarders toegang wordt verleend tot het Rijksregister van de
natuurlijke personen.
Beraadslaging RN 24 /2011 - 5/11
informatiegegevens van het Rijksregister de tussenkomst van de aanvrager beperkt is tot doorgeefluik, zal zijn toegang slechts mogelijk zijn voor zover er een concrete vraag is van een gemachtigde gerechtsdeurwaarder. 14.
Het door de aanvrager georganiseerd gebruikers- en toegangsbeheer zorgt ervoor dat alleen
toegang wordt verleend aan die gerechtsdeurwaarders die gerechtigd zijn om hun ambt uit te oefenen3
(niet
geschorst,
afgezet,
overleden).
Elke
bij
de
aanvrager
geregistreerde
gerechtsdeurwaarder bepaalt wie van zijn medewerkers ook over een toegang tot het Rijksregister mag beschikken en signaleert wanneer aan de toegang van een medewerker een einde moet worden gesteld (ontslag, stopzetten samenwerking). Hij zal bijgevolg instaan voor zowel het registreren van zijn medewerkers bij de aanvrager als het op non-actief stellen ervan. 15.
Wanneer een bevoegde gebruiker zich heeft aangemeld, zal deze maar effectief de
gegevens van het Rijksregister kunnen raadplegen – bij voorkeur aan de hand van het Rijksregisternummer en bij gebrek daaraan via fonetische of andere opzoekingsmogelijkheden - voor zover hij het dossier opgeeft in de context waarvan hij een raadpleging wenst te verrichten. Dit wordt bijgehouden in de loggings met het oog een efficiënte controle op het correct gebruik van het machtigingsbesluit van 16 mei 1986 [wie raadpleegde wat-wanneer-over wie- waarom(dossier)]. 16.
Hierbij wordt tevens een uniforme minimumbeveiliging nagestreefd. De overeenkomst die de
aanvrager met elke gerechtsdeurwaarder zal afsluiten bevat daartoe een luik in verband met het informatieveiligheidsbeleid. 17.
Het Comité stelt vast dat het doeleinde, zoals hiervoor afgebakend, welbepaald, uitdrukkelijk
omschreven en gerechtvaardigd is in de zin van artikel 4, § 1, 2°, WVP en artikel 5, tweede lid, WRR.
C. PROPORTIONALITEIT C.1. Ten overstaan van de gegevens 18.
Uit de aanvullende informatie verstrekt op 04/04/2011 blijkt dat de aanvrager toegang
wenst tot dezelfde gegevens waartoe de gerechtsdeurwaarders momenteel toegang hebben, namelijk de informatiegegevens vermeld in artikel 3, eerste lid, 1° tot 9°, 13° en tweede lid
3
Volgens de bijkomende informatie ontvangen op 06/04/2011 zal dit gecontroleerd worden bij de Nationale Kamer van de Gerechtsdeurwaarders. Indien een gerechtsdeurwaarder wordt geschorst wordt bij uitbreiding de toegang van de personen die onder zijn verantwoordelijkheid vallen, geblokkeerd.
Beraadslaging RN 24 /2011 - 6/11
(historiek), WRR en verwijst ter verantwoording naar de motivering vermeld in de aanvraag van de Nationale Kamer van Gerechtsdeurwaarders die op 08/02/2006 werd ingediend. 19.
Ingevolge de uitbouw van de toepassing van de aanvrager zouden de gerechtsdeurwaarders
die beslissen om met de aanvrager in zee te gaan, niet langer rechtstreeks het Rijksregister raadplegen. De toegang verloopt via de aanvrager met als meerwaarde dat er een controle gebeurt op het correct gebruik van de toegang en dat de informatieveiligheid een bijzonder aandachtspunt wordt. 20.
Het Comité stelt vast dat om deze werkwijze te realiseren, het noodzakelijk is dat de
aanvrager
de
informatiegegevens
uit
het
Rijksregister
kan
verstrekken
waartoe
gerechtsdeurwaarders gemachtigd zijn om toegang te hebben. Dit zijn zoals reeds opgesomd de gegevens vermeld in punt 18. 21.
Het Comité stelt vast dat er reeds voor soortgelijke systemen machtigingen werden verleend
(zie punt 6). In het licht hiervan is het van oordeel dat een toegang van de aanvrager tot de gegevens vermeld in artikel 3, eerste lid, 1° tot 9°, 13°, en tweede lid (historiek), WRR in overeenstemming is met artikel 4, § 1, 3°, WRR.
C.2. Ten overstaan van het identificatienummer 22.
Voor de aanvrager is het belangrijk dat alleen maar bevoegde personen, namelijk de bij hem
aangesloten gerechtsdeurwaarders evenals de medewerkers door deze laatsten aangeduid, worden toegelaten om raadplegingen te doen. Dit vereist de identificatie en authenticatie van iedere persoon die zich bij hem met zijn eID aanmeldt om vervolgens diens toegang te bepalen (autorisatie). 23.
Voor de identificatie en authenticatie zal de aanvrager, blijkens mondelinge toelichting,
werken met het federaal portaal van Fedict. Het identificatienummer speelt daarbij een centrale rol4. Ter bevestiging dat de persoon die zich aanmeldt is wie hij beweert te zijn zal de aanvrager vanwege Fedict naast de naam en de voornaam ook het identificatienummer van de betrokkene ontvangen. Op basis van het bericht dat de aanvrager vanwege Fedict ontvangt, zal eerstgenoemde in zijn databank de toegangsrechten controleren. Dit zal gebeuren aan de hand van het in het bericht vervatte identificatienummer omdat dit uniek nummer het meest geschikte instrument is om iemand ondubbelzinnig en correct te identificeren. Vergissingen n.a.v. homonymie en foutieve schrijfwijzen worden uitgesloten. Dit vereist natuurlijk dat de aanvrager de gerechtigde gebruikers bij hem registreert aan de hand van het identificatienummer van de betrokkenen.
4
Fedict beschikt daartoe trouwens over een machtiging om het identificatienummer van het Rijksregister te gebruiken: beraadslaging nr. 26/2005 van 6 juli 2005.
Beraadslaging RN 24 /2011 - 7/11
24.
Uit de bijkomende informatie verstrekt op 04/04/2011 leidt het Comité af dat de aanvrager
het identificatienummer ook met het oog op audit- en loggingbehoeften gebruikt en bewaart zodat kan worden geantwoord op de vraag welke eindgebruiker welke gegevens heeft geraadpleegd over welke persoon en waarom. 25.
Het Comité stelt vast dat gerechtsdeurwaarders gemachtigd zijn om het identificatienummer
van het Rijksregister te gebruiken5. Zij zullen bijgevolg ongetwijfeld het Rijksregister wensen te bevragen aan de hand van dit nummer. De aanvrager moet bijgevolg in staat zijn om de bij een identificatienummer horende informatiegegevens te bezorgen, wat vereist dat hij dit mag gebruiken, alhoewel hij dit concreet eigenlijk niet zelf benut. 26.
Het Comité stelt vast dat het hierboven geschetst gebruik van het identificatienummer,
rekening houdend met het doeleinde, in overeenstemming is met artikel 4, § 1, 3°, WVP. 27.
Het Comité vestigt er de aandacht op dat:
tussen het Rijksregister en de aanvrager een overeenkomst moet worden gesloten waarin waarborgen worden voorzien met betrekking tot de controle op de toegang tot de betrokken persoonsgegevens en met betrekking tot het bijhouden van de loggings;
de loggings slechts toegankelijk zijn volgens een strikte procedure en slechts kunnen worden aangewend met het oog op het behandelen van eventuele klachten of het achterhalen van eventuele onregelmatigheden;
de loggings ter beschikking moeten worden gehouden van het Rijksregister en van het Comité.
C.3. Ten overstaan van de frequentie van de toegang en de duur van de machtiging 28.
Er wordt een permanente toegang gevraagd.
29.
Het Comité stelt vast dat het doeleinde met het oog op dewelke een toegang tot de
informatiegegevens gevraagd wordt, vereist dat de aanvrager voortdurend in staat is om persoonsgegevens uit het Rijksregister ter beschikking te stellen. Bijgevolg is een permanente toegang aangewezen (artikel 4, § 1, 3°, WVP). 30.
5
De toegang wordt voor onbepaalde duur gevraagd.
Beraadslaging RR nr. 06/2006 van 1 maart 2006.
Beraadslaging RN 24 /2011 - 8/11
31.
Het Comité stelt vast dat het doeleinde waarvoor een machtiging wordt gevraagd niet in de
tijd beperkt is. Bijgevolg is, in het licht van het doeleinde waarvoor de toegang tot de gegevens en het gebruik van het identificatienummer worden gevraagd, een machtiging voor onbepaalde duur noodzakelijk (artikel 4, § 1, 3° WVP).
C.4. Ten overstaan van de bewaringstermijn 32.
De aanvrager meldt dat hij in het kader van het toegangs-en gebruikersbeheer het
identificatienummer bewaart:
voor wat een gerechtsdeurwaarder betreft: zolang hij beroep doet op zijn diensten en hem geen tuchtstraffen of inactiviteit worden opgelegd;
voor wat de medewerkers betreft: zolang deze voor een gerechtsdeurwaarder werken en deze laatste toegangsgerechtigd is.
33.
Het Comité is van oordeel dat de vooropgestelde bewaringstermijn overeenstemt met de
vereiste van artikel 4, § 1, 5°, WVP. 34.
Louter volledigheidshalve vestigt het Comité de aandacht op de volgende punten die de
aanvrager moet in acht nemen:
de aanvrager slaat de door de gerechtsdeurwaarders geraadpleegde informatiegegevens uit het Rijksregister niet op dit wil zeggen dat hij wel registreert welke gerechtsdeurwaarder (of medewerker) gegevens over wie waarom en wanneer heeft opgevraagd maar wat deze opvroeg – de inhoud van de boodschap - mag door hem niet worden bewaard;
voor zover het identificatienummer van de gebruikers in de loggings wordt geregistreerd, dit in die context gedurende minstens 10 jaar moet worden bewaard (het misbruik maken van een toegang tot persoonsgegevens is een strafbaar feit).
C.5. Intern gebruik en/of mededeling aan derden 35.
Uit de aanvraag en de aanvullende informatie leidt het Comité af dat de aanvrager de
informatiegegevens
van
het
Rijksregister
uitsluitend
meedeelt
aan
aangesloten
gerechtsdeurwaarders en hun medewerkers, wat in het licht van het doeleinde en het feit dat de gerechtsdeurwaarders behoorlijk gemachtigd zijn, geen aanleiding geeft tot bijzondere opmerkingen.
Beraadslaging RN 24 /2011 - 9/11
36.
Het identificatienummer van de gebruikers van de diensten van de aanvrager wordt in
beginsel uitsluitend intern gebruikt door de aanvrager. In het kader van een onderzoek naar eventueel misbruik van de toegang is het mogelijk dat het identificatienummer zal moeten worden meegedeeld aan derden voor zover die gemachtigd zijn om het nummer te gebruiken. 37.
Het Comité neemt hiervan akte.
C.6. Netwerkverbindingen 38.
Op basis van de informatie vervat in de aanvraag en de aanvullende informatie stelt het
Comité vast dat er geen automatische gegevensuitwisseling plaatsvindt tussen de verschillende gegevensbanken met behulp van het identificatienummer van het Rijksregister. Er zijn dus geen netwerkverbindingen. 39.
Voor de volledigheid, vestigt het Comité de aandacht erop dat:
wanneer er later netwerkverbindingen tot stand komen, de aanvrager het Comité hiervan vooraf moet inlichten;
het identificatienummer van het Rijksregister uitsluitend in relatie met derden mag worden gebruikt mits dit valt binnen het kader van de doeleinden waarvoor deze derden eveneens gemachtigd werden dit nummer te gebruiken.
D. INFORMATIEVEILIGHEID D.1. Consulent inzake informatieveiligheid 40.
De identiteit van de consulent inzake informatieveiligheid werd meegedeeld. Het is een
zelfstandige consulent. 41.
Voor zover het Comité op basis van de verstrekte informatie kan vaststellen:
oefent deze persoon bij de aanvrager geen andere functies uit;
is zijn opdracht zo omschreven dat hij de nodige ruimte en autonomie heeft om deze te vervullen;
42.
beschikt hij over de nodige capaciteiten voor deze functie. Bijgevolg is de voorgestelde persoon aanvaardbaar.
Beraadslaging RN 24 /2011 - 10/11
D.2. Het Informatieveiligheidsbeleid 43.
Uit de door de aanvrager meegedeelde stukken blijkt dat hij over een veiligheidsbeleid
beschikt evenals over een plan in toepassing ervan. 44.
Het Comité heeft er akte van genomen.
D.3. Personen die toegang hebben tot de gegevens/ het identificatienummer van het Rijksregister gebruiken en lijst van deze personen 45.
Volgens mondelinge toelichting staat een onderaannemer van de aanvrager in voor het
technisch onderhoud van de toepassing. In het kader hiervan en het verhelpen van eventuele problemen kan het gebeuren dat de personeelsleden van de onderaannemer toegang hebben tot gegevens van het Rijksregister en het identificatienummer gebruiken. De consulent inzake informatieveiligheid van de aanvrager zal het identificatienummer gebruiken in het kader van zijn controle- en audit-functie. 46.
Als verantwoordelijke voor de verwerking moet de aanvrager, zoals voorgeschreven door
artikel 12 WRR, een lijst opstellen waarop de personen vermeld worden die toegang hebben tot het Rijksregister en het identificatienummer ervan gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden. 47.
De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring
ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren.
OM DEZE REDENEN, het Comité 1° machtigt de private stichting Juridisch informatiecentrum JIC om voor het doeleinde vermeld in punt B en onder de voorwaarden bepaald in deze beraadslaging voor onbepaalde duur:
een permanente toegang te hebben tot de informatiegegevens vermeld in artikel 3, eerste lid, 1° tot 9°, 13° en tweede lid (historiek), WRR;
het identificatienummer van het Rijksregister te gebruiken;
De private stichting Juridisch Informatiecentrum JIC is verplicht indien het een andere rechtspersoonlijkheid aanneemt, indien zijn statutair doeleinde wordt aangepast of indien het zijn
Beraadslaging RN 24 /2011 - 11/11
ledenstructuur fundamenteel wijzigt – andere dan gerechtsdeurwaarders - , om het Comité daarvan onmiddellijk te informeren zodat dit kan nagaan of de voorwaarden voor het behoud van de machtiging nog vervuld zijn. 2° bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van de
informatieveiligheid
die
een
impact
kan
hebben
op
de
antwoorden
die
met
het
veiligheidsformulier aan het Comité werden verstrekt (aanstelling van een consulent inzake informatieveiligheid en antwoorden op de vragen m.b.t. de organisatie van de veiligheid), de private stichting Juridisch informatiecentrum JIC een nieuwe vragenlijst i.v.m. de stand van de informatieveiligheid naar waarheid moet invullen en aan het Comité moet bezorgen. Het Comité meldt de ontvangst ervan en behoudt het recht om daarop later eventueel te reageren; 3° bepaalt dat wanneer het Comité de private stichting Juridisch informatiecentrum JIC een vragenlijst betreffende de informatieveiligheid stuurt, deze laatste die vragenlijst waarheidsgetrouw moet invullen en terugsturen aan het Comité. Dit laatste zal de ontvangst bevestigen en hierop reageren indien hiertoe aanleiding bestaat.
Voor de Administrateur m.v.,
De Voorzitter,
(get.) Patrick Van Wouwe
(get.) Mireille Salmon
