1/8
Sectoraal comité van het Rijksregister
Beraadslaging RR nr. 75/2014 van 8 oktober 2014
Betreft: Aanvraag van de Vlaamse Vervoermaatschappij De Lijn om de machtiging verleend bij koninklijk besluit van 5 september 1994 – die reeds bij beraadslagingen RR nrs. 04/2006, 39/2007 en 33/2011 werd verruimd – uit te breiden (RN-MA-2014-322)
Het Sectoraal comité van het Rijksregister, (hierna "het Comité"); Gelet op de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen (hierna "WRR"); Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte
van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis; Gelet op het koninklijk besluit van 17 december 2003 tot vaststelling van de nadere regels met
betrekking tot de samenstelling en de werking van bepaalde Sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer; Gelet op de aanvraag van de Vlaamse Vervoersmaatschappij De Lijn, ontvangen op 14/07/2014; Gelet op de aanvraag van het technisch en juridisch advies gericht aan de Federale Overheidsdienst Binnenlandse Zaken op 22/09/2014; Gelet op het verslag van de Voorzitter; Beslist op 8 oktober 2014, na beraadslaging, als volgt:
. .
Beraadslaging RR 75/2014 - 2/8
I. VOORWERP VAN DE AANVRAAG 1. De Lijn (hierna “de aanvrager” genoemd) stelt dat zij voor de uitvoering van haar taken betreffende het stads –en streekvervoer, samen werkt met exploitanten, op contractuele basis. Deze exploitanten zijn privé-ondernemingen, die in opdracht en onder de naam van de aanvrager, bepaalde ritten uitvoeren. 2. In de contracten tussen de aanvrager en haar exploitanten, wordt vooreerst bepaald dat door de aanvrager bepaalde vervolmakingscursussen kunnen worden verplicht, evenals cursussen in functie van nieuwe door de aanvrager opgelegde technologieën. Aangezien de aanvrager deze verbintenis aangaat, wil zij ook kunnen opvolgen welke opleidingen reeds werden gevolgd door een medewerker van een exploitant. Een medewerker kan ook wisselen van werkgever, en voor een andere exploitant eenzelfde functie gaan vervullen. De aanvrager wenst dan ook de mogelijkheid te hebben om de betrokken medewerker uniek te identificeren, en in een aangelegde historiek kunnen gaan nakijken welke opleidingen een bepaalde medewerker reeds heeft gekregen. Om dit te kunnen opvolgen, wenst de aanvrager een bestand aan te leggen welke de medewerkers van een exploitant bevat en de historiek van de gevolgde opleidingen per individu. Zulks kadert tevens in de afspraak gemaakt in de beheersovereenkomst tussen de Vlaamse Regering en de aanvrager, waarin wordt bepaald dat de aanvrager moet voorzien in voldoende opleiding voor haar chauffeurs. 3. Een tweede contractuele afspraak betreft het aanbieden van vrijverkeerkaarten door de aanvrager. Dit houdt in dat rechthebbenden (rijdende en niet-rijdende medewerkers van de exploitant en hun gezinsleden) een vervoersbewijs krijgen, waarmee ze gratis gebruik kunnen maken van alle stads –en streekvervoer binnen België. De aanvrager wenst hiervoor een controle te kunnen uitoefenen op de gezinssamenstelling en identiteitsgegevens van een medewerker van een exploitant, zodat een vrijverkeerkaart bij de juiste personen terecht komt.
4.
Onderhavige machtigingsaanvraag heeft tot doel om de aanvrager te machtigen om:
toegang te hebben tot de informatiegegevens vermeld in artikel 3, eerste lid, 1°-2°, 5° en 9°WRR;
het identificatienummer van het Rijksregister te gebruiken;
de foto’s te raadplegen en te gebruiken die zijn opgeslagen in het Register van de Identiteitskaarten en het Register van de Vreemdelingenkaarten;
Beraadslaging RR 75/2014 - 3/8
met het oog op de uitreiking van de vrijverkeerkaart en voor de actualisatie van het bestand met de gevolgde opleidingen door de medewerkers van een exploitant. II. ONDERZOEK VAN DE AANVRAAG A. ANTECEDENTEN 5. De aanvrager beschikt reeds over een machtiging, namelijk het koninklijk besluit van 5
september 1994 tot regeling van de toegang tot de informatiegegevens van het Rijksregister van de natuurlijke personen in hoofde van de Vlaamse Vervoermaatschappij , uitgebreid bij de beraadslagingen RR nrs. 04/2006, 39/2007 en 33/2011. 6. Overeenkomstig artikel 5, eerste lid , 2°, en artikel 8 WRR wordt de machtiging om toegang te krijgen tot de informatiegegevens van het Rijksregister en om het identificatienummer ervan te gebruiken door het Comité verleend “aan de openbare en private instellingen van Belgisch recht voor de informatie die zij nodig hebben voor het vervullen van taken van algemeen belang die hen zijn toevertrouwd door of krachtens een wet, een decreet of een ordonnantie of voor taken die uitdrukkelijk als zodanig erkend worden door het voormelde sectoraal comité”. 7. Het aanbieden van voldoende opleiding aan haar chauffeurs, hetgeen gebeurt met het oog op het verzekeren van de algemene veiligheid en zoals tevens voorzien werd in de beheersovereenkomst tussen de Vlaamse regering en de aanvrager, kan als een taak van algemeen belang worden beschouwd. 8. Het aanbieden van vrijverkeerkaarten aan rechthebbenden (rijdende en niet-rijdende medewerkers van de exploitant en hun gezinsleden) door de aanvrager kan evenwel niet als een
taak
van
algemeen
belang
worden
beschouwd,
het
betreft
louter
een
personeelsvoordeel. Hieruit volgt dat de machtigingsaanvraag voor dit doeleinde dan ook door het Comité als onontvankelijk wordt beschouwd, en hiernavolgend dan ook niet verder wordt behandeld. 9.
Gelet op het voorgaande, kan het onderzoek van het Comité zich bij voorliggende nieu e aanvraag, aangaande de actualisatie van het bestand met de gevolgde opleidingen door de medewerkers van een exploitant, beperkten tot:
Beraadslaging RR 75/2014 - 4/8
het vaststellen of het doeleinde waarvoor het gebruik gevraagd worden, welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn in de zin van de artikelen 4, § 1, 2°, WVP en 5, tweede lid, WRR;
het nagaan of het gebruik van het identificatienummer proportioneel is rekening houdend met de doeleinden.
B. FINALITEITEN 10. De aanvrager verzoekt het Comité om de machtiging waarover hij reeds beschikt om het identificatienummer van het Rijksregister te gebruiken uit te breiden tot de volgende finaliteit: actualisatie van het bestand met de gevolgde opleidingen door de medewerkers van een exploitant. De aanvrager wenst de mogelijkheid te hebben om de betrokken medewerker uniek te identificeren, en in een aangelegde historiek kunnen gaan nakijken welke opleidingen een bepaalde medewerker reeds heeft gekregen. Om dit te kunnen opvolgen, wenst de aanvrager een bestand aan te leggen welke de medewerkers van een exploitant bevat met hun rijksregisternummer en de historiek van de gevolgde opleidingen per individu. 11. Het Comité is van oordeel dat het hierboven vermelde en nagestreefde doeleinde welbepaald en uitdrukkelijk omschreven is in de zin van artikel 4, § 1, 2°, WVP en artikel 5, tweede lid, WRR. Dit is tevens gerechtvaardigd vermits de eruit voortspruitende verwerkingen gebaseerd zijn op artikel 5, eerste lid, f), WVP. C. PROPORTIONALITEIT
C.1. Ten overstaan van het identificatienummer van het Rijksregister 12. Het gebruik van het identificatienummer wordt aangevraagd voor de unieke identificatie van de betrokken personen. Aan de hand van het identificatienummer van het Rijksregister, dat een
uniek
nummer
is,
kan
een
persoon
precies
geïdentificeerd
worden.
Het identificatienummer van het Rijksregister van de betrokkene zal de aanvrager de mogelijkheid bieden om voor het bijhouden van een historiek van gevolgde opleidingen, het Rijksregister te bevragen. Het identificatienummer van de medewerkers van de exploitant wordt door de aanvrager opgevraagd bij de exploitant. 13. Het door de aanvrager gewenste gebruik van het identificatienummer is, in het licht van het opgegeven doeleinde, in overeenstemming met artikel 4, § 1, 3°, WVP.
Beraadslaging RR 75/2014 - 5/8
C.2. Ten opzichte van de duur van de machtiging 14. Er wordt een machtiging voor onbepaalde duur gevraagd, daar de werkzaamheden van de aanvrager niet in de tijd beperkt zijn. 15. Het Comité stelt vast dat de realisatie van het doeleinde niet in de tijd beperkt is. In het licht van het doeleinde is een machtiging van onbepaalde duur gepast (artikel 4, § 1, 3°, WVP).
C.3. Ten opzichte van de bewaringstermijn 16. De bewaringstermijn is verbonden aan de periode van activiteit van een bepaalde medewerker bij een exploitant.
Daarnaast voorziet men voor deze medewerker een
bewaringstermijn van 10 jaar na uitdiensttreding. Zo kan de aanvrager voor een bepaalde medewerker, die na enige tijd bij een andere exploitant gaat werken, bijhouden welke opleidingen hij heeft genoten. Wanneer iemand langer dan 10 jaar niet voor de aanvrager heeft gewerkt, dienen alle opleidingen opnieuw te worden gevolgd, en moeten de gegevens dus niet langer worden bewaard. 17. In zoverre de aanvrager de hierboven vermelde termijn in acht neemt, handelt hij conform artikel 4, § 1, 5° van de WVP.
C.4. Intern gebruik en/of mededeling aan derden 18. De gegevens zullen enkel intern gebruikt worden, door de administratieve medewerkers van de aanvrager bevoegd voor de behandeling van de betreffende dossiers. Het Comité neemt hiervan akte. 19. De
aanvrager
maakt
melding
van
een
onderaanneming,
hij
zal
namelijk
het
identificatienummer van het Rijksregister opvragen bij de exploitant. Het Comité verduidelijkt dat als er een verwerkingsopdracht als bedoeld in artikel 1, §5 van de WVP is gepland, er conform artikel 16 van de WVP een verwerkingsovereenkomst moet worden afgesloten tussen de aanvrager en de verwerker. Artikel 5, 1ste lid, 3° van de WRR verplicht de verwerker eveneens om aan de personen in wier naam hij handelt in de hoedanigheid van de verwerker, rekenschap af te leggen van de noodzakelijk maatregelen die hij neemt om zich in overeenstemming te brengen met de WVP.
Beraadslaging RR 75/2014 - 6/8
C.5. Netwerkverbindingen 20. De aanvrager stelt dat er geen netwerkverbindingen tot stand komen. Het Comité neemt hiervan akte. 21. Vanuit een bekommernis van volledigheid benadrukt het Comité dat:
indien er later netwerkverbindingen mochten tot stand komen, de aanvrager het Comité daarvan voorafgaandelijk op de hoogte moet brengen;
het identificatienummer van het Rijksregister in ieder geval slechts gebruikt kan worden in relaties met derden voor zover het kadert in de doeleinden met het oog op dewelke deze laatsten eveneens gemachtigd werden om dit nummer te gebruiken.
D. BEVEILIGING
D.1. Consulent inzake informatiebeveiliging 22. De identiteit van de consulent inzake informatiebeveiliging werd meegedeeld. Zij werd door de beraadslaging RR nr. 33/2011 van 18 mei 2011 reeds aanvaard als consulent inzake informatiebeveiliging.
D.2. Informatiebeveiligingsbeleid 23. Uit
de
door
de
aanvrager
meegedeelde
stukken
blijkt
dat
hij
over
een
informatiebeveiligingsbeleid beschikt evenals over een plan in toepassing ervan. 24. Het Comité neemt hiervan akte en benadrukt dat loggings dienen te worden bijgehouden teneinde te registreren wie, omwille van welke reden, op een bepaald tijdstip, een bepaald dossier heeft geraadpleegd op basis van het rijksregisternummer.
D.3. Personen die het nummer gebruiken en lijst van deze personen 25. Alle personen die belast zijn met de behandeling van de dossiers, werkzaam bij de aanvrager, zullen het nummer gebruiken.
Beraadslaging RR 75/2014 - 7/8
26. De aanvrager moet, zoals voorgeschreven door artikel 12 WRR, een lijst opstellen waarop bovenvermelde personen worden opgenomen. Deze lijst zal voortdurend geactualiseerd en ter beschikking van het Comité gehouden worden. Zij zal aan het Comité worden voorgelegd op eerste verzoek. 27. De personen die op deze lijst worden opgenomen moeten daarenboven een verklaring ondertekenen waarin zij zich ertoe verbinden de veiligheid en het vertrouwelijk karakter van de informatiegegevens te bewaren. 28. Het Comité wil dat de aanvrager de nodige maatregelen treft om de loggings te registeren zodat de toegangen kunnen worden gecontroleerd. OM DEZE REDENEN, het Comité 1° stelt vast dat de machtigingsaanvraag voor zover deze betrekking heeft op het aanbieden van vrijverkeerkaarten aan rechthebbenden (rijdende en niet-rijdende medewerkers van de exploitant en hun gezinsleden) onontvankelijk is; 2° breidt de machtigingen waarover de Vlaamse Vervoermaatschappij De Lijn beschikt uit en bepaalt dat zij, met het oog op de verwezenlijking van het in punt B omschreven doeleinde en onder de voorwaarden omschreven in deze beraadslaging, voor onbepaalde duur het identificatienummer van het Rijksregister mag gebruiken; 3° bepaalt dat indien op een later tijdstip een wijziging wordt aangebracht aan de organisatie van de informatiebeveiliging
die een impact
kan hebben op de antwoorden die met
het
veiligheidsformulier aan het Comité werden verstrekt (aanstelling van een consulent inzake informatiebeveiliging en antwoorden op de vragen m.b.t. de organisatie van de veiligheid), de Vlaamse
Vervoermaatschappij
De
Lijn
een
nieuwe
vragenlijst
i.v.m.
de
stand
van
de
informatiebeveiliging naar waarheid moet invullen en aan het Comité moet bezorgen. Het Comité meldt de ontvangst ervan en behoudt het recht om daarop later eventueel te reageren;
Beraadslaging RR 75/2014 - 8/8
4° bepaalt dat wanneer het Comité de Vlaamse Vervoermaatschappij De Lijn een vragenlijst betreffende de informatiebeveiliging stuurt, deze die vragenlijst waarheidsgetrouw moet invullen en terugsturen aan het Comité. Dit laatste zal de ontvangst bevestigen en hierop reageren indien hiertoe aanleiding bestaat.
De Wnd. Administrateur,
De Voorzitter,
(get.) Patrick Van Wouwe
(get.) Mireille Salmon