1/8
Sectoraal comité van het Rijksregister
Beraadslaging RR nr 21/2013 van 20 maart 2013
Betreft: aanvraag van het Agentschap voor Overheidspersoneel om het identificatienummer van het Rijksregister te gebruiken in het geïntegreerd informaticasysteem van de Sociale Dienst met het oog op de uitbouw van een elektronisch loket (RN-MA-2013-001)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité");
Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR");
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van het Agentschap voor Overheidspersoneel, ontvangen op 07/01/2013;
Gelet op de bijkomende informatie ontvangen op 18/02/2013;
Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 12/02/2013;
Gelet op het verslag van de Voorzitter;
Beraadslaging RR 21/2013 - 2/8
Beslist op 20 maart 2013, na beraadslaging, als volgt:
I. VOORWERP VAN DE AANVRAAG 1.
Het Agentschap voor Overheidspersoneel verzoekt om de vzw Sociale dienst voor het
Vlaams Overheidspersoneel, hierna de aanvrager, te machtigen om het identificatienummer van het Rijksregister te gebruiken met het oog op efficiënte online dienstverlening via modules die zullen uitgroeien tot een volwaardige-loket.
II. ONDERZOEK VAN DE AANVRAAG Bij koninklijk besluit van 4 september 20021 werd de vzw Sociale Dienst van de Vlaamse
2.
Gemeenschap gemachtigd om toegang te hebben tot een aantal informatiegegevens van het Rijksregister.
De Vlaamse administratie werd ingevolge het kaderdecreet bestuurlijk beleid van
3.
18 juli 2003 grondig gereorganiseerd, waardoor het niet langer meer duidelijk was wie de begunstigde was van de bij koninklijk besluit verleende machtigingen.
Hieraan werd verholpen door de beraadslaging RR nr. 04/2010 van 17 februari 2010 inzake
4.
herbekijken machtigingsbesluiten in functie van het decreet beter bestuurlijk beleid, waarin werd vastgesteld
welke
dienst
als
rechtsopvolger
moest
worden
beschouwd
van
de
in
de
machtigingsbesluiten vermelde begunstigden.
5.
In punt 33 van die beraadslaging wordt bepaald dat in het koninklijk besluit van 4
september 2002 “vzw Sociale Dienst van de Vlaamse Gemeenschap” voortaan moet gelezen worden als “vzw Sociale dienst voor het Overheidspersoneel”.
6.
De aanvrager beschikt dus reeds over een machtiging zodat het onderzoek van het Comité
zich kan beperken tot het nagaan of: •
het doeleinde waarvoor het gebruik van het identificatienummer wordt gevraagd, conform is met artikel 4, § 1, 2°, WVP;
1
Koninklijk besluit van 4 december 2002 waarbij de V.Z.W. Sociale Dienst van de Vlaamse Gemeenschap, administratief ingedeeld bij de administratie Ambtenarenzaken van het departement Algemene Zaken en Financiën van het Ministerie van de Vlaamse Gemeenschap gemachtigd wordt om toegang te hebben tot de informatiegegevens van het Rijksregister van de natuurlijke personen.
.
Beraadslaging RR 21/2013 - 3/8
•
het gebruik van het identificatienummer in het licht van dit doeleinde, proportioneel is (artikel 4, § 1, 3°, WVP).
A. DOELEINDE De aanvrager werd opgericht in uitvoering van artikel 3 van het decreet van 2 maart 20072.
7.
Zijn doelstelling bestaat erin een bijdrage te leveren aan het algemeen welzijn van de actieve en gepensioneerde personeelsleden van Vlaamse administraties en hun gezinsleden, om hun functioneren zowel binnen als buiten de werkomgeving te bevorderen (artikel 4).
8.
De doelgroep van de aanvrager bestaat uit actieve en gepensioneerde personeelsleden van
onder meer de Vlaamse departementen, Vlaamse agentschappen, Vlaamse openbare instellingen en hun gezinsleden. Met het oog op een efficiënte dienstverlening3 door de aanvrager beschikt hij over een IT
9.
applicatie, het Geïntegreerd Informaticasysteem Sociale Dienst (GISD), waarin de verschillende processen zijn opgenomen in de vorm van modules. Vandaaruit vertrekkend wenst de aanvrager op termijn een e-loket uit te bouwen via hetwelk een aantal van zijn diensten kunnen worden bekomen.
10.
Er werd een aanzet in die richting gegeven in 2011 door het online zetten op het interne
netwerk van 2 modules een die gerechtigde toelaten tickets aan te kopen aan gunsttarief en een andere die toelaat om uit de brochure een sinterklaasgeschenk te kiezen. Daardoor werd een einde gesteld aan een tijdrovende en arbeidsintensieve formulierenstroom. Ondertussen werd in 2012 ook het proces om een renteloze lening voor een huurwaarborg aan te vragen online toegevoegd. Er word gepland om in de loop van 2013 nog andere functionaliteiten toe te voegen zodat er een volwaardig e-loket ontstaat dat een klantvriendelijke en vlotte dienstverlening mogelijk maakt en de administratieve processen aanzienlijk vereenvoudigd.
11.
Er kan slechts van een volwaardig e-loket sprake zijn als alle gerechtigde er beroep op
kunnen doen. Momenteel is dat niet het geval voor gerechtigden - zoals bijvoorbeeld de personeelsleden van Vlaamse openbare instellingen, gepensioneerde gerechtigden, personeelsleden zonder werkcomputer - die niet zijn aangesloten op of geen toegang hebben tot het interne netwerk. Vandaar dat de aanvrager dit e-loket via het internet toegankelijk wenst te maken. Hij zal daartoe beroep doen op het Access and Control Management en de single sign on van de Vlaamse
2
Decreet van 2 maart 2007 betreffende de vereniging zonder winstoogmerk Sociale Dienst voor het Vlaams
Overheidspersoneel. 3 Deze omvat individuele hulpverlening (bijvoorbeeld hulp bij verslaving, verstrekken van een renteloze lening om een noodsituatie te overbruggen), sociale dienstverlening (bijvoorbeeld verlenen van juridisch advies, verstrekken van Sinterklaasgeschenken, voordelige tickets voor pretparken) en een eindeloopbaanwerking.
Beraadslaging RR 21/2013 - 4/8
Overheid, waarbij een gerechtigde zich identificeert en authentiseert aan de hand van zijn eID of zijn federaal burgertoken en vervolgens wordt doorverbonden op basis van het identificatienummer met de online-toepassing van de aanvrager.
12.
Opdat het e-loket optimaal zou kunnen functioneren is het dus essentieel dat alle
gerechtigden in het achterliggende GISD van de aanvrager zijn geregistreerd, eenduidig kunnen geïdentificeerd worden teneinde vergissingen uit te sluiten (alleen toegang voor gerechtigden, de gerechtigde krijgt alleen informatie en gegevens die de op hem betrekking hebben, te zien).
13.
Momenteel beschikt de aanvrager wel over de identificatienummers van de gerechtigden op
basis van het koninklijk besluit van 24 november 2010 tot vastlegging van de gevallen waarin een
machtiging tot gebruik van het identificatienummer van het Rijksregister niet vereist is. Dit besluit beperkte het gebruik van het identificatienummer echter tot het punctueel raadplegen van het Rijksregister.
14.
Het Comité stelt vast dat het doeleinde van de verwerking welbepaald en uitdrukkelijk
omschreven is. De verwerking van persoonsgegevens met het oog op de realisatie van dit doeleinde, is gestoeld op artikel 5, eerste lid, c) en f), WVP. Het betreft bijgevolg ook een gerechtvaardigd doeleinde.
15.
Voor de uitbouw van dit project wordt er beroep gedaan op een onderaannemer. Het
Comité vestigt er de aandacht op dat artikel 16 WVP de aanvrager, de verantwoordelijke voor de verwerking, ertoe verplicht een overeenkomst m.b.t. de bescherming van persoonsgegevens te sluiten met zijn onderaannemer (verwerker).
B. PROPORTIONALITEIT B.1. Ten overstaan van het identificatienummer 16.
De aanvrager wenst het identificatienummer te gebruiken om de gerechtigden die in zijn
GISD zijn opgenomen zo nauwkeurig mogelijk te identificeren, zodat vergissingen die kunnen ontstaan n.a.v. schrijffouten en homonymie worden vermeden en de goede werking van het eraan verbonden e-loket niet wordt gehypotheceerd.
17.
Het Comité stelt vast dat het identificatienummer het meest geschikte instrument is om
iemand te identificeren. Het is een uniek nummer dat toelaat iemand heel nauwkeurig te identificeren, zeker wanneer het gebruikt wordt in combinatie met bijvoorbeeld de naam en de voornaam en het adres.
Beraadslaging RR 21/2013 - 5/8
18.
Het door de aanvrager gewenste gebruik van het identificatienummer is, in het licht van het
opgegeven doeleinde, in overeenstemming met artikel 4, § 1, 3°, WVP.
B.2. Ten overstaan van de duur van de machtiging 19.
Er wordt een machtiging voor onbepaalde duur gevraagd gelet op het feit dat de decretale
opdracht van de aanvrager niet in de tijd is beperkt en thans evenmin kan worden bepaald hoelang een e-loket voor de vervulling van deze opdracht een nuttig instrument is.
20.
Het Comité is van oordeel dat in het licht hiervan een machtiging van onbepaalde duur
gepast is (artikel 4, § 1, 3°, WVP)
B.3. Ten overstaan van de bewaartermijn 21.
In de aanvraag wordt gesteld dat de aanvrager het identificatienummer bewaart zolang een
persoon via het e-loket beroep kan doen op zijn diensten. Wanneer dit niet langer het geval omdat de betrokkene ontslagen is/ontslag nam, overleden is of hij zich heeft laten schrappen zal het nummer uit de e-loket-context worden verwijderd. Het zal nog wel in het dossier van de betrokkene worden bewaard gedurende 10 jaar na het afsluiten van het dossier.
22.
Het Comité stelt vast dat de dienstverlening door de aanvrager aanleiding geeft tot een
reeks uitgaven en ontvangsten (geschenken, tickets aan voordeeltarieven, renteloze leningen, …) die worden gecontroleerd door het Rekenhof dat zich daartoe alle relevante dossiers kan laten voorleggen.
23.
De aanvrager moet bij het bepalen van de bewaringstermijn bijgevolg rekening houden met: •
de wet van 16 mei 2003 tot vaststelling van de algemene bepalingen die gelden voor de
begrotingen, de controle op de subsidies en voor de boekhouding van de gemeenschappen en de gewesten, alsook voor de organisatie van de controle door het Rekenhof. Artikel 15 van die wet bepaalt dat inzake verjaring het gemeen recht van toepassing is, dus 10 jaar. Daarenboven bepaalt artikel 68 van het decreet van 8 juli 2011 houdende regeling van de
begroting, de boekhouding, de toekenning van subsidies en de controle op de aanwending ervan, en de controle door het Rekenhof, dat voormeld artikel 15 van de wet van 16 mei 2003 van toepassing is op de Vlaamse Rechtspersonen; •
de beperkingen die voortspruiten uit het decreet 9 juli 2010 betreffende de bestuurlijk administratieve archiefwerking.
Beraadslaging RR 21/2013 - 6/8
24.
Rekening houdend hiermee stelt het Comité stelt vast dat de door aanvrager vooropgestelde
bewaartermijn niet indruist tegen artikel 4, § 1, 5°, WVP.
B.4. Intern gebruik en/of mededeling aan derden 25.
Volgens de aanvraag zal het identificatienummer uitsluitend intern worden gebruikt.
26.
Het Comité neemt er akte van.
B.5. Netwerkverbindingen 27.
Een netwerkverbinding impliceert dat persoonsgegevens via onderlinge koppeling van
informatiesystemen op geautomatiseerde wijze aan derden worden meegedeeld waarbij het identificatienummer van het Rijksregister van de betrokkenen als primaire sleutel wordt gebruikt.
28.
In de aanvraag wordt gesteld dat er een netwerkverbinding tot stand komt met de DAB-ICT
(oude
benaming,
actuele
naam
is
DAB-Informatie
Vlaanderen,
m.a.w.
de
Vlaamse
Dienstenintegrator). Het Comité stelt vast dat dit geen netwerverbinding is in de zin zoals hierboven omschreven in punt 27.
29.
Het Comité vestigt er volledigheidshalve de aandacht op dat: •
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen;
•
het identificatienummer van het Rijksregister slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke zij eveneens gemachtigd werden om dit nummer te gebruiken.
C. INFORMATIEBEVEILIGING C.1. Consulent inzake informatiebeveiliging 30.
De identiteit van de consulent inzake informatiebeveiliging werd meegedeeld. Uit de
meegedeelde informatie blijkt dat de betrokkene: •
over de nodige onafhankelijk beschikt om de functie uit te oefenen;
•
bij de administrateur-generaal verslag uitbrengt;
Beraadslaging RR 21/2013 - 7/8
•
voldoende tijd aan de taak kan besteden;
•
behoorlijke praktische kennis en ervaring heeft met de problematiek.
31.
In het licht hiervan is het Comité van oordeel dat de betrokkene kan worden aanvaard als
consulent inzake informatiebeveiliging.
C.2. Informatiebeveiligingsbeleid 32.
Uit de meegedeelde stukken, blijkt dat de aanvrager over een informatiebeveiligingsbeleid
beschikt en dat hij dit ook praktisch op het terrein uitwerkt. Het Comité heeft er akte van genomen.
C.3. Lijst van de personen die het identificatienummer gebruiken 33. beheer
Volgens de aanvraag zullen de personeelsleden van de aanvrager die instaan voor het van
de
GISD-toepassing
en
het
toegangs-en
gebruikersbeheer
ervan,
het
identificatienummer gebruiken.
34.
De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop de
personen vermeld worden die toegang hebben tot het Rijksregister en het identificatienummer ervan gebruiken. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden.
35.
De personen die op deze lijst worden opgenomen, moeten daarenboven een verklaring
ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijke karakter van de informatiegegevens te bewaren.
OM DEZE REDENEN, het Comité 1° machtigt de vzw Sociale dienst voor het Overheidspersoneel om, voor het doeleinde omschreven in punt A en overeenkomstig de modaliteiten bepaald in deze beraadslaging voor onbepaalde duur het identificatienummer van het Rijksregister te gebruiken;
2° bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van de informatiebeveiliging
die een impact
kan hebben op
de antwoorden die met
het
veiligheidsformulier aan het Comité werden verstrekt (aanstelling van een consulent inzake informatiebeveiliging en antwoorden op de vragen m.b.t. de organisatie van de beveiliging), de vzw Sociale dienst voor het Overheidspersoneel een nieuwe vragenlijst i.v.m. de stand van de
Beraadslaging RR 21/2013 - 8/8
informatiebeveiliging naar waarheid moet invullen en aan het Comité bezorgen. Het Comité meldt de ontvangst ervan en behoudt het recht om daarop later eventueel te reageren;
3° bepaalt dat wanneer het Comité de vzw Sociale dienst voor het Overheidspersoneel een vragenlijst met betrekking tot de informatiebeveiligingsstatus toestuurt, deze laatste de lijst waarheidsgetrouw moet invullen en terugbezorgen aan het Comité. Het Comité zal de ontvangst bevestigen en behoudt zich het recht voor om, indien daartoe aanleiding bestaat, te reageren.
De Wnd. Administrateur,
De Voorzitter,
(get.) Patrick Van Wouwe
(get.) Mireille Salmon